Hook Androidバンキングトロイの木馬の新バージョンが登場し、モバイルマルウェアとしてこれまでで最も多機能な特徴を示しています。
ZimperiumのzLabsの研究者がこの亜種を特定し、現在107種類のリモートコマンドに対応しており、そのうち38種類は新たに追加されたものです。
アップグレードされたマルウェアは金融窃盗を超え、ランサムウェア型の手法や高度な監視ツールを採用しています。
最新機能の一部は以下の通りです:
-
ユーザーに支払いを強要するランサムウェアオーバーレイ
-
機密データを盗むための偽NFCスキャンプロンプト
-
偽のPINおよびパターンスクリーンを使ったロック画面のバイパス
-
ジェスチャーを取得するための透明なオーバーレイ
-
完全な監視のためのリアルタイム画面ストリーミング
「このキャンペーンは真にグローバルな規模で展開されています」とDeepwatchのサイバーセキュリティ・イネーブルメントディレクター、フランキー・スクラファニ氏は警告しました。
「検出件数はわずか2週間で2倍以上に増加しており、急速かつ攻撃的な成長パターンを示しています。」
Androidマルウェアの脅威についてさらに読む:AndroidマルウェアがDiscordチャンネル経由でバンキングユーザーを標的に
以前のキャンペーンが主にフィッシングサイトに依存していたのとは異なり、Hookの運営者は現在、GitHubリポジトリを通じて悪意のあるAPKファイルを拡散しています。
Zimperiumは、Ermac、Brokewell、その他のSMSスパイウェア系マルウェアも同様の方法で配布されていると報告しました。
「このフィッシングキャンペーンが厄介なのは、被害者自身のメールアドレスや会社のロゴを使って偽サイトをパーソナライズし、詐欺を本物のように見せかけている点です」とSlashNextのフィールドCTO、J Stephen Kowski氏は説明しました。
「配布される悪意のあるファイルは、単にパスワードを盗むだけでなく、攻撃者に長期的なコントロールを与える強力なリモートアクセスツールもインストールします。」
Zimperiumは、HookがAndroidのアクセシビリティサービスを引き続き悪用し、自動化された詐欺やデバイス制御を行っていることも確認しました。
前述の通り、最も警戒すべき新機能は、攻撃者が管理する暗号通貨ウォレットアドレスとともに支払い要求を表示するランサムウェアオーバーレイです。Google Payなどのサービスを模倣した偽のクレジットカード入力フォームも、支払い情報の収集に利用されています。
トロイの木馬内で見つかったコードの記述から、開発者がRabbitMQを追加し、より耐障害性の高いコマンド&コントロール(C2)通信を実現しようとしている可能性が示唆されています。また、Telegramベースの機能開発の痕跡もありますが、これらの機能はまだ未完成です。
Zimperiumは、業界パートナーと協力し、このマルウェアの配布に関連する少なくとも1つのGitHubリポジトリを削除したと述べています。
Hookの急速な進化は、従来型のバンキングトロイの木馬がスパイウェアやランサムウェアの手法を取り入れていることを浮き彫りにしています。
スクラファニ氏は「これはネットワーク内に密かに持続的な悪意のあるペイロードをインストールするために設計された完全な攻撃プロセスであり、企業や個人の双方にとって懸念が高まっています」と結論付けています。
翻訳元: https://www.infosecurity-magazine.com/news/android-trojan-expands-ransomware/