HOOK Androidマルウェア亜種

サイバーセキュリティ研究者は、Androidを標的とするバンキング型トロイの木馬「HOOK」の新たな亜種を特定しました。この亜種は、被害者から金銭を詐取するためのランサムウェア風のオーバーレイ機能を備えています。これはHOOKの機能の大幅な進化を示しており、従来のバンキング型マルウェアの域を超えています。

ランサムウェア風オーバーレイ恐喝

最新亜種における最も顕著な追加機能の一つは、全画面にランサムウェアのオーバーレイを表示する機能です。このオーバーレイには、脅迫的な「警告」メッセージと、コマンドアンドコントロール（C2）サーバーから動的に取得されたウォレットアドレスと身代金の金額が表示されます。

C2 サーバーが「ransome」コマンドを送信すると、恐喝画面がリモートでトリガーされ、攻撃者が「delete_ransome」命令を発行すると閉じることができます。

ERMACバンキング型トロイの木馬のルーツ

HOOKは、以前ソースコードがオンラインで流出したバンキング型トロイの木馬ERMACの直接的な派生と考えられています。ERMACと同様に、HOOKはAndroidのアクセシビリティサービスと不正なオーバーレイ画面を多用し、認証情報の窃取、金融詐欺の自動化、感染デバイスの制御権の奪取を行います。

高度なスパイ活動と搾取機能

HOOKは、認証情報の窃取以外にも、様々な侵入機能を備えています。具体的には以下のとおりです。

• 攻撃者が管理する番号に SMS メッセージを送信します。
• 被害者の画面のライブフィードをストリーミングします。
• 前面カメラを使用して画像をキャプチャします。
• 暗号通貨ウォレットにリンクされた Cookie と回復フレーズを盗みます。

これらの機能は、HOOK とスパイウェアの機能が融合していることを浮き彫りにし、攻撃者に広範な監視と盗難のオプションを提供します。

リモートコマンドの拡張

HOOKの最新バージョンは107個のリモートコマンドをサポートし、新たに38個の機能が追加されました。これにより、ユーザーを欺き、機密データを収集する能力が強化されています。

最も注目すべき新しいコマンドには次のようなものがあります。

• ランサムウェア – デバイス上にランサムウェア風のオーバーレイを表示する
• delete_ransome – ランサムウェアのオーバーレイを削除します

大規模流通チャネル

研究者たちは、HOOKの拡散経路をフィッシングサイトや、悪意のあるAPKファイルをホストする不正なGitHubリポジトリにまで追跡しました。GitHubをマルウェア拡散に利用することは目新しいことではなく、ERMACやBrokewellといったマルウェアファミリーもこのプラットフォーム経由で拡散しており、脅威アクターの間でGitHubがますます普及していることを物語っています。

マルウェアのカテゴリー間の境界線が曖昧に

HOOKの急速な進化は、モバイル脅威における憂慮すべき傾向、すなわちバンキング型トロイの木馬、スパイウェア、ランサムウェアの技術の融合を反映しています。HOOKは機能を継続的に拡張し、大規模なキャンペーンを通じて拡散することで、金融機関、企業、そして一般のAndroidユーザーにとってますます大きなリスクをもたらしています。