Zimperium zLabs đã phát hiện một biến thể mới tinh vi của mã độc Hook Android, đánh dấu sự leo thang đáng kể về mức độ phức tạp của các mối đe dọa di động. Phiên bản mới này tích hợp các lớp phủ kiểu ransomware, hiển thị thông báo tống tiền và yêu cầu thanh toán qua các địa chỉ ví được lấy động từ máy chủ chỉ huy và kiểm soát (C2).

Các cơ chế tấn công mới của Hook v3

Lớp phủ Ransomware và các lệnh C2

Lớp phủ ransomware được kích hoạt bởi lệnh ransome. Các lớp phủ toàn màn hình này nhúng nội dung HTML trực tiếp vào tệp APK. Kẻ tấn công có thể xóa các lớp phủ này từ xa thông qua lệnh delete_ransome.

Lớp phủ NFC giả mạo

Mã độc Hook v3 tăng cường khả năng lừa đảo với các lớp phủ NFC giả, được kích hoạt bởi lệnh takenfc. Chúng sử dụng WebView toàn màn hình để mô phỏng giao diện quét, sẵn sàng cho việc tiêm JavaScript trong tương lai nhằm đánh cắp dữ liệu nhạy cảm.

Cơ chế vượt qua màn hình khóa nâng cao

Cơ chế vượt qua màn hình khóa của Hook v3 đặc biệt tiên tiến, sử dụng các lời nhắc PIN và mẫu lừa đảo trên các lớp phủ trong suốt để thu thập thông tin đăng nhập. Điều này cho phép truy cập trái phép vào thiết bị.

• Lệnh unlock_pin tự động hóa quá trình này bằng cách chiếm WakeLocks.
• Nó mô phỏng các cử chỉ vuốt lên và nhập mã PIN do máy chủ cung cấp.
• Sau đó, mã độc thực hiện các thao tác chạm xác nhận được bản địa hóa.

Lớp phủ lừa đảo tài chính

Các lớp phủ lừa đảo gian lận, được khởi tạo bởi lệnh takencard, sao chép giao diện Google Pay để đánh cắp chi tiết thẻ tín dụng thông qua các biểu mẫu HTML nhúng. Dữ liệu đầu vào thu thập được sẽ được truyền trở lại máy chủ C2.

Sự phát triển của mã độc Hook: 107 lệnh điều khiển từ xa

Dựa trên nền tảng lạm dụng Dịch vụ Trợ năng của Android cho mục đích gian lận tự động và điều khiển từ xa, Hook v3 hiện hỗ trợ tới 107 lệnh điều khiển từ xa, bao gồm 38 bổ sung mới. Các lệnh này cho phép:

• Stream màn hình lén lút thông qua lệnh start_vnc để giám sát thời gian thực.
• Tạo lớp phủ trong suốt để ghi lại cử chỉ với lệnh start_record_gesture.
• Tương tác lập trình như lệnh onpointerevent để mô phỏng các cử chỉ chạm xuống, tiếp tục và nhấc lên.

Phương thức phát tán và hạ tầng C2 của mã độc Hook

Sự phân phối của mã độc Hook đã mở rộng vượt ra ngoài các trang web lừa đảo. Hiện nay, nó khai thác các kho lưu trữ GitHub, nơi các tác nhân độc hại lưu trữ các tệp APK độc hại cho Hook, Ermac, Brokewell và phần mềm gián điệp SMS. Điều này tận dụng tính hợp pháp của GitHub để phân tán quy mô lớn. Zimperium zLabs đang theo dõi nhiều kho lưu trữ hiển thị cả các biến thể cũ và mới của mã độc Hook.

Kỹ thuật chỉ huy và kiểm soát (C2)

Cơ chế C2 của Hook v3 dựa vào WebSocket để liên lạc hai chiều (MITRE T1481.002) và phân giải động (MITRE T1637). Có những dấu hiệu cho thấy việc tích hợp RabbitMQ trong tương lai để tăng cường khả năng phục hồi C2, bao gồm cả thông tin đăng nhập được mã hóa cứng. Theo báo cáo của Zimperium, các dấu vết Telegram gợi ý về các tính năng phát triển để truyền dữ liệu injection, mặc dù chưa hoàn chỉnh (Zimperium – Hook version 3).

Phân tích kỹ thuật mã độc Hook v3 theo MITRE ATT&CK Mobile

Từ góc độ kỹ thuật, mã độc Hook kiên trì tồn tại thông qua các broadcast receiver cho sự kiện SMS (MITRE T1624.001) và leo thang đặc quyền thông qua quyền quản trị thiết bị (MITRE T1626.001). Điều này cho phép nó thực hiện khôi phục cài đặt gốc, thay đổi PIN/mật khẩu và vô hiệu hóa màn hình khóa.

Chiến thuật phòng thủ (Defense Evasion)

Các chiến thuật né tránh phòng thủ của mã độc Hook bao gồm:

• Mạo danh các ứng dụng hợp pháp như Google Chrome (MITRE T1655.001).
• Tự gỡ cài đặt (MITRE T1630.001).
• Khóa thiết bị qua DevicePolicyManager.lockNow() (MITRE T1629.002).
• Tiêm đầu vào cho cử chỉ và nhập dữ liệu (MITRE T1516).

Truy cập thông tin đăng nhập (Credential Access)

Khả năng truy cập thông tin đăng nhập của mã độc này rất đa diện, bao gồm:

• Chặn thông báo cho OTP (MITRE T1517).
• Ghi lại thao tác gõ phím (keylogging) (MITRE T1417.001).
• Chụp giao diện người dùng (GUI capture) (MITRE T1417.002).
• Trích xuất dữ liệu từ khay nhớ tạm (clipboard extraction) (MITRE T1414).

Chức năng khám phá (Discovery)

Các chức năng khám phá của mã độc Hook bao gồm:

• Liệt kê tệp/thư mục (MITRE T1420).
• Theo dõi vị trí (MITRE T1430).
• Liệt kê các ứng dụng đã cài đặt (MITRE T1418).
• Phát hiện kết nối mạng (MITRE T1421).
• Thu thập thông tin hệ thống (MITRE T1426).

Thu thập dữ liệu (Collection)

Khả năng thu thập của Hook v3 mở rộng đến:

• Chụp màn hình (MITRE T1513).
• Truy cập dữ liệu cục bộ (MITRE T1533).
• Ghi âm camera/audio (MITRE T1512/T1429).
• Điều khiển cuộc gọi (MITRE T1616).
• Trích xuất nhật ký cuộc gọi, danh bạ, SMS (các kỹ thuật con của MITRE T1636) và tài khoản (MITRE T1409).

Tác động (Impact) và Rò rỉ dữ liệu (Exfiltration)

Rò rỉ dữ liệu xảy ra qua các kênh C2 (MITRE T1646). Các kỹ thuật tác động của Hook v3 bao gồm chuyển tiếp/chặn cuộc gọi (MITRE T1616), thao túng SMS (MITRE T1582) và đánh cắp thông tin đăng nhập dựa trên lớp phủ (MITRE T1516).

Các lệnh điều khiển và chỉ báo IOC tiềm năng

Các chuỗi lệnh sau đây có thể được sử dụng làm chỉ báo về hoạt động của mã độc Hook:

ransome
delete_ransome
takenfc
unlock_pin
takencard
start_vnc
start_record_gesture
onpointerevent

Phòng chống và giảm thiểu rủi ro từ mã độc Hook

Zimperium Mobile Threat Defense (MTD) và zDefend cung cấp khả năng phát hiện động trên thiết bị chống lại mã độc Hook, ngay cả đối với các biến thể được cài đặt từ nguồn không chính thức (sideloaded), thông qua phân tích hành vi.

Sự hợp tác với các bên liên quan đã dẫn đến việc gỡ bỏ một kho lưu trữ GitHub quan trọng, hạn chế sự phân phối của mã độc. Sự hội tụ của các chiến thuật trojan ngân hàng, phần mềm gián điệp và ransomware này làm nổi bật mối đe dọa mạng di động ngày càng leo thang, làm mờ ranh giới giữa các mối đe dọa và đòi hỏi các biện pháp bảo vệ điểm cuối mạnh mẽ cho các lĩnh vực tài chính và doanh nghiệp.