【安全圈】HOOK 木马进化：银行木马、间谍软件与勒索软件三位一体

关键词

网络木马

网络安全研究人员近日披露，一种名为HOOK的安卓银行木马出现了最新变种，其能力已经超越传统的金融窃密，新增了类似勒索软件的覆盖屏幕功能，用于向受害者施压并索取赎金。

Zimperium zLabs 的研究员 Vishnu Pratapagiri 指出，这一新版本的显著特征在于它能够调用一个全屏幕的勒索界面，显示恐吓性警告信息，并附带钱包地址与转账金额。这些信息均由远程的指挥控制（C2）服务器动态下发。当攻击者向受感染设备发出“ransome”指令时，该覆盖界面会立即被启动，而“delete_ransome”指令则可将其撤销。

研究人员认为，HOOK 很可能是ERMAC 银行木马的衍生版本。ERMAC 曾因源代码意外泄露而广泛传播。与其他同类恶意软件类似，HOOK 可以在金融类应用上叠加伪造的界面，从而窃取用户凭证，并借助 Android 的辅助功能实现自动化欺诈，甚至远程完全操控设备。

除了勒索功能之外，HOOK 还具备多种监控与窃取能力，包括向指定号码发送短信、实时共享受害者的屏幕、调用前置摄像头拍摄照片、窃取加密货币钱包的 cookies 及恢复短语等。最新版本更进一步，支持多达107 种远程指令，其中新增了 38 种。新增功能涵盖透明覆盖层以记录用户手势、伪造 NFC 扫描界面以骗取银行卡信息，以及伪造解锁界面窃取图案或 PIN 码等。

HOOK 的传播途径主要依赖于钓鱼网站和虚假的 GitHub 仓库，用于托管和分发恶意 APK 文件。类似的分发方式此前也被用于传播 ERMAC 和 Brokewell 等木马，这显示出威胁行为者对开源平台的广泛利用。研究人员警告称，HOOK 的演变表明银行木马正在与间谍软件和勒索软件手法快速融合，传统的威胁边界正日益模糊，对金融机构、企业和普通用户都构成更严重的风险。

与此同时，另一款臭名昭著的安卓银行木马Anatsa也在不断进化。根据 Zscaler ThreatLabs 的披露，该木马目前已能攻击超过831 款银行与加密货币服务应用，较之前的 650 款大幅增加，目标范围覆盖德国、韩国等多个国家。

研究人员发现，其中一款伪装成文件管理器的应用（包名 com.synexa.fileops.fileedge_organizerviewer）实际上是 Anatsa 的投递器。该恶意程序不再依赖远程 DEX 文件的动态加载，而是直接在本地安装木马，并利用损坏的压缩包隐藏其载荷，以在运行时释放。和 HOOK 类似，Anatsa 也会请求 Android 的辅助功能权限，并借此授予自身额外特权，例如收发短信、在其他应用上绘制覆盖层，从而窃取信息或引导用户输入敏感数据。

在大范围分析中，研究人员共识别出77 款恶意应用，涉及 Anatsa、Joker、Harly 等多个家族，总安装量超过 1900 万次。这些应用往往伪装成合法软件或游戏，通过混淆与动态加载来规避检测。Harly 最早由卡巴斯基在 2022 年发现，今年三月 Human Security 披露又有 95 款内含 Harly 的应用潜入了 Google Play。

Zscaler 的研究员 Himanshu Sharma 指出，Anatsa 正在通过反分析与规避检测的手段不断增强，同时新增了超过150 款金融应用作为攻击目标，显示出该木马在全球范围内的威胁规模仍在不断扩大。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！