Nový malvér Hook útočí na Androidy. Vie ťa sledovať v reálnom čase a ukradne ti všetky údaje
Nový malvér Hook je jednou z najväčších hrozieb pre Android. Dokáže sledovať obrazovku v reálnom čase, ukradnúť heslá, PINy aj údaje z platobných kariet. Šíri sa cez GitHub a phishingové stránky, pričom kombinuje spyware, ransomvér aj phishingové techniky.
Malvér Hook patrí medzi najpokročilejšie škodlivé kódy, aké sme zatiaľ na Androide videli. Bezpečnostní analytici zo spoločnosti Zimperium odhalili jeho novú verziu, ktorá posúva útoky na úplne inú úroveň. Už dávno nejde len o bežný bankový trójsky kôň. Hook sa mení na multifunkčný nástroj, ktorý kombinuje funkcie spywaru, ransomvéru a klasického malvéru.
Hook sa šíri cez GitHub a kombinuje spyware, ransomvér aj phishing
Problém je ešte väčší, než sa zdá, pretože útočníci ho šíria vo veľkom cez GitHub, phishingové stránky a ďalšie kanály. Nová verzia podporuje už 107 vzdialených príkazov, z toho 38 úplne nových, a vývojári neustále pridávajú ďalšie schopnosti. Hook sa tak stáva doslova kybernetickou nočnou morou.
Jednou z najnebezpečnejších noviniek je schopnosť Hooka zobraziť ransomvérové prekrytie. Ak útočník aktivuje príslušný príkaz, na celej obrazovke sa objaví výstraha s výzvou na zaplatenie výkupného. Čiastka aj adresa kryptopeňaženky sa dynamicky generujú zo servera, takže je prakticky nemožné vystopovať útočníkov.
Oklame ťa falošnou obrazovkou a zariadenie si odomkne sám
Overlay navyše dokážu kedykoľvek na diaľku odstrániť. Ešte zákernejší je technika, ktorou si malvér dokáže vypýtať prístupové údaje. Hook dokáže oklamať používateľa cez falošnú obrazovku odomykania, ktorá vyzerá presne ako originálna obrazovka s PIN kódom alebo vzorom. Obeť do nej zadá údaje, no v skutočnosti ich odovzdá útočníkom. Tí potom môžu použiť príkaz, ktorý automaticky odomkne zariadenie. Hook najprv zobudí displej, potiahne obrazovku hore, nakliká správny PIN a potvrdí ho. Od tej chvíle má útočník plnú kontrolu nad mobilom, vrátane prístupu k bankovým aplikáciám, fotkám či e-mailom.
V minulých verziách Hooku a jeho „bratov“ Ermac a Brokewell bezpečnostní analytici zaznamenali útoky na Tatra banku, VÚB, Slovenskú sporiteľňu, Českú spořitelnu či Komerční banku. afTo jasne ukazuje, že útočníci cielia priamo aj na náš región.
Vývojári Hooka mysleli aj na oblasť bezkontaktných platieb. Nová verzia obsahuje príkaz, ktorý zobrazuje falošnú NFC obrazovku. Zatiaľ síce nezbiera údaje, ale kód už obsahuje pripravené rozhranie na zachytávanie vstupov, čo naznačuje, že v ďalšej verzii sa útočníci zamerajú aj na krádež dát z bezkontaktných kariet. Ešte nebezpečnejší je príkaz, ktorý zobrazí falošnú platobnú bránu Google Pay na nerozoznanie od originálu. Cieľom je ukradnúť údaje z platobných kariet vrátane čísla, dátumu expirácie, PINu alebo CVV kódu a okamžite ich odoslať útočníkom.
Neprehliadni
Hook navyše využíva aj transparentné prekrytia, ktoré sú pre používateľa prakticky neviditeľné. Táto technika je extrémne nebezpečná, pretože umožňuje odchytávať PIN kódy, sledovať gestá a zaznamenávať prihlasovacie údaje bez toho, aby o tom používateľ vedel. K tomu sa pridáva schopnosť živého streamovania obrazovky. Útočník tak v reálnom čase vidí všetko, čo na zariadení robíš, od zadávania hesiel až po potvrdenie platieb. Dokáže tak zachytiť aj jednorazové kódy z SMS a obísť dvojfaktorovú autentifikáciu.
Analytici Zimperium navyše upozorňujú na nové náznaky, kam sa Hook vyvíja. V kóde našli referencie na RabbitMQ server, čo je pokročilý systém riadenia správ medzi zariadeniami a serverom. Hoci zatiaľ nie je plne implementovaný, ukazuje to, že vývojári plánujú prechod na spoľahlivejšiu a rýchlejšiu infraštruktúru C2 komunikácie, ktorá umožní lepšie riadenie útokov. Hook experimentuje aj s integráciou Telegramu ako riadiaceho kanála. Zatiaľ tam chýba bot token a chat ID, takže funkcia ešte nie je dokončená, ale je zrejmé, že vývoj malvéru sa nezastavil a pripravujú sa nové možnosti.
Masívne šírenie cez GitHub zvyšuje riziko nákazy
Obrovský problém predstavuje aj šírenie cez GitHub. Útočníci sem nahrávajú škodlivé APK súbory a zneužívajú dôveryhodnosť platformy, čo výrazne zvyšuje úspešnosť infikovania obetí. Nebezpečné je aj to, že GitHub sa nepoužíva len na distribúciu Hooka, ale aj ďalších rodín malvéru, ako sú Ermac, Brokewell či rôzne SMS spyware trójske kone. Zimperium síce spolupracovalo s partnermi na odstránení viacerých škodlivých repozitárov, ale útočníci ich neustále obnovujú a šírenie pokračuje.
Hook sa tak mení na kybernetického chameleóna. Už dávno nie je len bankový trójsky kôň. Dnes v sebe kombinuje spyware, ktorý sleduje obrazovku, odchytáva gestá, heslá a PINy, ransomvér zobrazujúci výkupné obrazovky, phishingové techniky kradnúce údaje z Google Pay či NFC a navyše poskytuje útočníkom úplnú diaľkovú kontrolu nad zariadením vrátane hovorov, SMS a fotografií. Pre bežného používateľa to znamená jediné, ak sa Hook dostane do tvojho zariadenia, prakticky strácaš nad ním kontrolu.
