- Hook v3は偽のGoogle Payオーバーレイを使い、被害者をだまして機密カード情報を入力させる
- リアルタイムの画面ストリーミングで攻撃者が被害者を直接監視可能
- 悪意あるAPKがGitHubリポジトリでホストされ、高度なマルウェアが広範囲に拡散
長年にわたり存在するHook Androidバンキングトロイの木馬マルウェアの最新バージョンであるHook v3は、異常に幅広い機能を備えていると専門家は警告しています。
Zimperium zLabsの研究者によると、このマルウェアは現在107種類のリモートコマンドに対応しており、最新のアップデートで38種類が追加され、引き続きAndroidのアクセシビリティサービスを悪用しています。
機能の拡張は、従来のバンキング詐欺からより多用途な脅威プラットフォームへの転換を示唆しており、さらに多くの被害者が危険にさらされる可能性があります。
ランサムウェア型オーバーレイと欺瞞的なプロンプト
研究者たちはレポートの中で、Hook v3が個人情報の窃取、ユーザーセッションの乗っ取り、端末防御の回避が可能であることを明らかにしています。
「Hook v3はバンキングトロイ、スパイウェア、ランサムウェアの境界線を曖昧にしています」とZimperiumのチーフサイエンティスト、Nico Chiaraviglio氏は述べています。
「その急速な進化と大規模な拡散は、金融機関、企業、そして世界中のモバイルユーザーにとって脅威を高めています。この発見は、端末上での積極的な防御の必要性を改めて強調するものです。」
特筆すべき追加機能の一つが、ランサムウェア型のオーバーレイの使用です。被害者は全画面の警告に遭遇し、支払いを要求されることがあり、これは従来デスクトップ型ランサムウェアでよく見られる手法です。
このような攻撃は、モバイル端末でのより強力なランサムウェア対策の必要性を浮き彫りにしていますが、この分野は従来あまり重視されていませんでした。
Hook v3はまた、正規のPINやパターン入力画面を模倣した偽のロック解除画面も使用します。
ユーザーが情報を入力すると、攻撃者はロック画面を突破するための認証情報を得ることができます。このオーバーレイとリモートコマンドの組み合わせにより、マルウェアは特に侵入的なものとなっています。
このトロイの木馬はさらに、偽のNFCスキャン画面や偽造された決済カードオーバーレイも組み込んでいます。
これらはGoogle Payなどの正規サービスを模倣するよう設計されており、無警戒なユーザーが機密情報を入力する可能性を高めています。
透明なオーバーレイはジェスチャーを密かに記録し、リアルタイムストリーミングにより攻撃者は端末の動作をその場で監視できます。
受動的な窃取と能動的な監視を組み合わせることで、Hook v3は多層的な侵入手法を示しています。
直接的に分散型サービス妨害(DDoS)攻撃を実行するわけではありませんが、その幅広いコマンドセットは、より広範なサイバーセキュリティ戦略の中でDDoS対策への投資を促すのと同様の多様性を反映しています。
Hook v3はフィッシングサイトを通じて拡散しますが、悪意あるAPKがGitHub上で公開されていることもあり、攻撃者は広く信頼されているプラットフォームを利用してマルウェアを配布しています。
とはいえ、Hookはまだ開発中とみられ、コードの一部にはRabbitMQやTelegramへの言及が見られます。
注入データの送信にTelegramが限定的に使われている兆候はあるものの、チャットIDやボットトークンが存在しないことから、これらの機能は未完成であると考えられます。
