Variante du logiciel malveillant HOOK pour Android
Des chercheurs en cybersécurité ont identifié une nouvelle variante du cheval de Troie bancaire Android, HOOK, qui intègre désormais des superpositions de type rançongiciel conçues pour extorquer des victimes. Il s'agit d'une évolution significative de ses capacités, le plaçant au-delà des malwares bancaires traditionnels.
Table des matières
Extorsion par superposition de type ransomware
L'un des ajouts les plus marquants de la dernière version est la possibilité de déployer une superposition de rançongiciel en plein écran. Cette superposition affiche un message d'avertissement menaçant, accompagné d'une adresse de portefeuille et du montant de la rançon récupérés dynamiquement auprès du serveur de commande et de contrôle (C2).
L'écran d'extorsion est déclenché à distance lorsque le serveur C2 envoie la commande « ransome » et peut être fermé lorsque l'attaquant émet l'instruction « delete_ransome ».
Racines dans le cheval de Troie bancaire ERMAC
HOOK est considéré comme une émanation directe du cheval de Troie bancaire ERMAC, dont le code source avait déjà été divulgué en ligne. Tout comme ERMAC, HOOK s'appuie fortement sur les services d'accessibilité et les superpositions d'écrans frauduleuses d'Android pour voler des identifiants, automatiser la fraude financière et prendre le contrôle des appareils infectés.
Fonctionnalités avancées d’espionnage et d’exploitation
Outre le vol d'identifiants, HOOK offre diverses fonctionnalités intrusives. Il peut :
- Envoyez des SMS à des numéros contrôlés par des attaquants.
- Diffusez en direct un flux de l'écran de la victime.
- Capturez des images à l’aide de la caméra frontale.
- Volez des cookies et des phrases de récupération liés aux portefeuilles de crypto-monnaie.
Ces fonctions mettent en évidence la convergence de HOOK avec les capacités des logiciels espions, offrant aux attaquants de larges options de surveillance et de vol.
Extension des commandes à distance
La dernière version de HOOK prend en charge 107 commandes à distance, avec 38 nouvelles fonctionnalités. Celles-ci renforcent sa capacité à tromper les utilisateurs et à collecter des données sensibles.
Certaines des nouvelles commandes les plus remarquables incluent :
- ransomware – Affiche une superposition de type ransomware sur l'appareil
- delete_ransome – Supprime la superposition du ransomware
- takenfc – Affiche un faux écran de numérisation NFC pour capturer les données de la carte
- unlock_pin – Présente un faux écran de déverrouillage pour voler les codes PIN ou les modèles de l'appareil
- takencard – Imite Google Pay pour hameçonner les informations de carte de crédit
- start_record_gesture – Utilise une superposition transparente pour enregistrer les gestes de l'utilisateur
Canaux de distribution à grande échelle
Les chercheurs ont retracé la diffusion de HOOK jusqu'à des sites web de phishing et des dépôts GitHub frauduleux hébergeant des fichiers APK malveillants. L'utilisation de GitHub pour la diffusion de logiciels malveillants n'est pas nouvelle ; des familles telles qu'ERMAC et Brokewell ont également été diffusées via la plateforme, démontrant sa popularité croissante auprès des acteurs malveillants.
Brouiller la frontière entre les catégories de logiciels malveillants
L'évolution rapide de HOOK reflète une tendance inquiétante des menaces mobiles : la convergence des chevaux de Troie bancaires, des logiciels espions et des rançongiciels. En développant constamment ses fonctionnalités et en se propageant via des campagnes à grande échelle, HOOK représente un risque croissant pour les institutions financières, les entreprises et les utilisateurs Android.
