Una nueva variante sofisticada del troyano de banca Android Hook ha surgido con capacidades sin precedentes que la posicionan entre las familias de malware móviles más avanzadas observadas hasta la fecha.
Esta última versión, designada Versión 3, representa una evolución significativa en la sofisticación de malware de banca Android, introduciendo un arsenal integral de 107 comandos remotos con 38 funcionalidades recién agregadas que difuminan los límites tradicionales entre los troyanos bancarios, el ransomware y el spyware.
La estrategia de distribución del malware se ha expandido más allá de los sitios web de phishing convencionales para incluir repositorios de GitHub, donde los actores de amenaza están aprovechando activamente la legitimidad de la plataforma para alojar y difundir archivos APK maliciosos.
Este enfoque proporciona a los atacantes una credibilidad mejorada y un alcance más amplio, ya que es más probable que las víctimas confíen en las aplicaciones alojadas en plataformas de buena reputación.
El método de distribución de GitHub también se ha observado que aloja a otras familias de malware, incluidas ERMAC y Brokewell, lo que indica un enfoque sistemático para las operaciones de malware como servicio.
Analistas de Zimperium identificado Varias capacidades innovadoras que distinguen esta variante de sus predecesores, incluidos los ataques superpuestos al estilo de ransomware, las interfaces NFC fraudulentas y los sofisticados mecanismos de derivación de la pantalla de bloqueo.
Malware que solicita servicios de accesibilidad a la víctima (Fuente – Zimperium)
El malware mantiene su base sobre el abuso de servicios de accesibilidad de Android al introducir superposiciones transparentes para la captura de gestos de usuario silencioso y las capacidades de transmisión de pantalla en tiempo real que proporcionan a los atacantes un control de dispositivos sin precedentes.
Mecanismos avanzados de ataque de superposición
El avance más notable de Hook versión 3 se encuentra en su sofisticado sistema de ataque de superposición, que implementa múltiples capas de engaño para capturar datos confidenciales del usuario.
La funcionalidad de superposición al estilo de ransomware implementa mensajes de advertencia de pantalla completa que exigen pagos de criptomonedas, con direcciones de billetera y cantidades recuperadas dinámicamente de los servidores de comando y control.
Superposición de estilo de ransomware (fuente – Zimperium)
El contenido HTML integrado dentro del APK habilita la implementación inmediata cuando se recibe el comando “Ransome”, mientras que el comando “Delete_Ransome” permite el despido remoto.
El sistema de superposición de NFC falso demuestra las capacidades de evolución del malware a través del comando “TakenFC”, que crea pantallas de escaneo de comunicación de campo cercanas engañosas utilizando superposiciones de WebView de pantalla completa.
Superposición de NFC falsa (fuente – Zimperium)
Aunque la implementación actual carece de integración completa de JavaScript para la exfiltración de datos, su presencia indica un desarrollo continuo hacia ataques integrales de ingeniería social basados en NFC.
Quizás lo más preocupante es el mecanismo de derivación de la pantalla de bloqueo, que combina técnicas de superposición con desbloqueo de dispositivos programáticos.
La secuencia de comando “desbloquear” adquiere privilegios de wakelock, realiza gestos de deslizamiento para revelar pantallas de bloqueo e entradas sistemáticamente capturadas a los pines a través de presiones de botones simulados, eludir efectivamente la barrera de seguridad principal de Android y otorgar a los atacantes el acceso de dispositivo completo para actividades maliciosas posteriores.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
