Ha aparecido una nueva versión del Troyano Banking Android Hook, que muestra uno de los conjuntos de características más extensos jamás grabados para malware móvil. Los investigadores de Zlabs de Zimperium identificaron la variante, que ahora admite 107 comandos remotos, de los cuales 38 son recién introducidos. El malware actualizado va más allá del robo financiero, adoptando métodos de estilo de ransomware y herramientas de vigilancia avanzadas. Entre sus últimas funciones se encuentran: las superposiciones de ransomware que obligan a los usuarios a realizar pagos de indicaciones de escaneo falsas de NFC diseñadas para robar la pantalla de bloqueo de datos confidenciales utilizando PIN engañosos y pantallas de patrones sobre superposiciones transparentes para capturar gestos en tiempo real de la transmisión de pantalla para el monitoreo completo «La campaña está operando a una escala verdaderamente global», advirtió Frankie Sclafani, director de Cybersecurity, en el monitoreo completo de la monitorización «. «El recuento de detecciones se ha más que duplicado en solo dos semanas, lo que refleja un patrón de crecimiento rápido y agresivo». Lea más sobre las amenazas de malware de Android: Android Malware se dirige a los usuarios bancarios a través de canales de discordia a diferencia de las campañas anteriores que se basaban principalmente en los sitios de phishing, los operadores de Hook ahora están difundiendo archivos APK maliciosos a través de repositorios de Github. Zimperium informó que otras familias de malware, incluidas Ermac, Brokwell y varias cepas de spyware SMS, también se están distribuyendo de esta manera. «Esta campaña de phishing es complicada porque personaliza los sitios web falsos con el correo electrónico y el logotipo de la compañía de la víctima, haciendo que la estafa se vea real», explicó J Stephen Kowski, CTO de campo de SlashNext. «Los archivos maliciosos entregados no son solo para robar contraseñas sino para instalar potentes herramientas de acceso remoto que brindan a los atacantes un control a largo plazo». Zimperium confirmó que Hook también continúa explotando los servicios de accesibilidad de Android para fraude automatizado y control de dispositivos. Como se mencionó anteriormente, su nueva característica más alarmante es una superposición de ransomware que muestra una demanda de pago con una dirección de billetera de criptomonedas controlada por los atacantes. Los formularios de tarjetas de crédito falsas, que imitan servicios como Google Pay, también se utilizan para cosechar información de pago. Las referencias de código que se encuentran en el troyano sugieren que sus desarrolladores pueden agregar RabbitMQ para comunicaciones más resistentes de comando y control (C2). También hay rastros de funcionalidad basada en telegramas en desarrollo, aunque estas características siguen siendo incompletas. Zimperium declaró que ha colaborado con los socios de la industria para eliminar al menos un repositorio de GitHub asociado con la distribución del malware. La rápida evolución del gancho subraya cómo los troyanos bancarios tradicionales están adoptando tácticas de spyware y ransomware. Como concluyó Sclafani, «este es un proceso de ataque completo diseñado para instalar secretamente una carga útil maliciosa persistente dentro de su red», lo que lo convierte en una preocupación creciente para empresas e individuos por igual.