Trojan Android HOOK thêm chiêu trò tống tiền, mở rộng tới 107 lệnh điều khiển từ xa

[Sevastopol]

Các nhà nghiên cứu an ninh mạng vừa phát hiện biến thể mới của trojan ngân hàng Android HOOK với khả năng hiển thị màn hình tống tiền giả mạo (ransomware overlay) nhằm ép nạn nhân trả tiền chuộc. Đây được xem là bước tiến nguy hiểm khi HOOK ngày càng hội tụ đặc tính của banking trojan, spyware và ransomware, làm gia tăng rủi ro cho cả người dùng lẫn tổ chức tài chính.

​

Theo công ty bảo mật Zimperium, biến thể mới của HOOK có thể triển khai màn hình toàn màn hình cảnh báo, hiển thị ví điện tử và số tiền chuộc được gửi động từ máy chủ điều khiển (C2). Tin tặc có thể kích hoạt hoặc gỡ bỏ lớp overlay này từ xa thông qua lệnh “ransome” hoặc “delete_ransome”.

HOOK được đánh giá là "hậu duệ" của trojan ERMAC, từng rò rỉ mã nguồn trên mạng và hiện được phân phối rộng rãi qua trang web lừa đảo và kho GitHub giả mạo. Ngoài khả năng giả mạo màn hình ứng dụng ngân hàng để đánh cắp thông tin đăng nhập, HOOK còn có nhiều tính năng gián điệp tinh vi:

• Gửi SMS đến số chỉ định
• Phát trực tiếp màn hình nạn nhân
• Chụp ảnh bằng camera trước
• Đánh cắp cookie và cụm từ khôi phục ví tiền điện tử

Đặc biệt, phiên bản mới hỗ trợ tới 107 lệnh điều khiển từ xa, trong đó có 38 lệnh vừa bổ sung như:

• ransome: hiển thị màn hình tống tiền
• takenfc: giả mạo quét NFC
• unlock_pin: giả mạo màn hình mở khóa để lấy mã PIN/mẫu hình
• takencard: giả mạo Google Pay để thu thập thông tin thẻ tín dụng
• start_record_gesture: ghi lại thao tác cử chỉ người dùng

Song song đó, một trojan khác là Anatsa cũng đang mở rộng phạm vi, nhắm vào hơn 831 dịch vụ ngân hàng và tiền mã hóa toàn cầu (so với 650 trước đó), đặc biệt ở Đức và Hàn Quốc. Anatsa thường ngụy trang dưới dạng ứng dụng quản lý tệp, lạm dụng quyền truy cập dịch vụ hỗ trợ để tự cấp thêm quyền, triển khai màn hình overlay để đánh cắp thông tin và chiếm quyền điều khiển thiết bị. Báo cáo cho thấy đã có 77 ứng dụng độc hại thuộc nhiều họ malware khác nhau (Anatsa, Joker, Harly…) xuất hiện trên Google Play với hơn 19 triệu lượt cài đặt.

Google sau đó xác nhận hiện không phát hiện ứng dụng chứa HOOK hoặc Anatsa trên Google Play. Người dùng Android mặc định được bảo vệ bởi Google Play Protect, có khả năng cảnh báo hoặc chặn ứng dụng độc hại kể cả khi tải từ ngoài Play Store.

Góc nhìn chuyên gia WhiteHat​

Sự phát triển của HOOK và Anatsa phản ánh xu hướng nguy hiểm: các dòng mã độc Android đang dần hợp nhất đặc tính của trojan ngân hàng, spyware và ransomware, khiến ranh giới giữa các loại hình tấn công ngày càng mờ nhạt. Với khả năng mở rộng liên tục cùng phương thức phân phối tinh vi, những trojan này đã và đang trở thành mối đe dọa lớn đối với tài chính số, doanh nghiệp và người dùng Android trên toàn cầu.

Đặc biệt, biến thể mới của HOOK cho thấy mã độc Android đang trở nên đa năng hơn bao giờ hết: vừa có thể đánh cắp thông tin tài chính như một trojan ngân hàng, vừa triển khai chiêu trò ransomware để tống tiền. Việc lợi dụng Accessibility Services giúp tin tặc kiểm soát gần như toàn bộ thiết bị, khiến người dùng rất khó tự phát hiện. Sự kết hợp này không chỉ gây ra thiệt hại tài chính trực tiếp, mà còn tiềm ẩn nguy cơ bị khóa thiết bị và đòi tiền chuộc – một bước tiến nguy hiểm trong chiến thuật tấn công trên nền tảng di động.

Để giảm thiểu rủi ro, chuyên gia WhiteHat khuyến cáo:

• Chỉ cài đặt ứng dụng từ Google Play hoặc nguồn chính thống, tuyệt đối tránh tải file APK lạ không rõ nguồn gốc
• Xem xét kỹ quyền truy cập khi cài ứng dụng, đặc biệt với quyền Accessibility
• Cập nhật hệ điều hành và ứng dụng thường xuyên để vá lỗ hổng bảo mật
• Cài đặt phần mềm bảo mật di động uy tín nhằm phát hiện và cảnh báo hành vi bất thường
• Sao lưu dữ liệu quan trọng định kỳ để hạn chế thiệt hại nếu bị khóa thiết bị
• Với doanh nghiệp, cần triển khai giải pháp giám sát, quản lý thiết bị di động (MDM/EDR) và tăng cường đào tạo nhận thức an ninh mạng cho nhân viên

Theo The Hacker News​