Мобильная экосистема Android столкнулась с новой волной угроз, вызванной эволюцией банковского трояна HOOK. Последняя версия этой вредоносной программы получиларасширенный набор функций и превратилась в гибрид, совмещающий возможности шпионского ПО, программ-вымогателей и инструментов удалённого контроля над устройством.
HOOK изначально разрабатывался как производная от трояна ERMAC , исходный код которого ранее утёк в открытый доступ. С самого начала он был нацелен на кражу учётных данных из банковских приложений, используя фальшивые накладки поверх интерфейсов для перехвата паролей и данных карт. Однако обновлённая сборка значительно расширила функциональность.
Теперь троян поддерживает 107 удалённых команд, включая 38 новых, что выводит его на другой уровень угрозы. Среди нововведений – возможность отображать полноэкранные “зашифрованные” оверлеи с сообщением о якобы заблокированном устройстве и требованием выкупа. Данные о сумме и криптокошельке злоумышленники подгружают динамически с управляющего сервера, а управление накладкой осуществляется удалённо.
Новые возможности включают генерацию поддельных экранов для захвата PIN-кода или шаблона разблокировки, имитацию интерфейса Google Pay для сбора реквизитов карт, прозрачные накладки для записи жестов и даже фальшивые окна NFC-сканирования для кражи данных бесконтактных карт.
Дополнительно троян может транслировать изображение с экрана жертвы, делать снимки с фронтальной камеры, перехватывать SMS, воровать cookie-файлы и секретные фразы восстановления криптокошельков. Заражение чаще всего происходит через фишинговые сайты и поддельные репозитории GitHub, где выкладываются вредоносные APK-файлы под видом легитимных приложений.
По данным Zimperium, широкое использование HOOK отражает тенденцию, при которой банковские трояны всё чаще объединяют функции программ-шпионов и вымогателей, размывая границы между категориями угроз. Эта стратегия позволяет атакующим контролировать устройства, красть деньги и персональные данные, а также блокировать доступ к смартфону, вынуждая владельца платить.
Тем временем, Zscaler отмечает ускоренное развитие банковского трояна Anatsa , число его целей выросло до 831 приложения, включая банки и криптосервисы. Распространение идёт через поддельные файловые менеджеры в Google Play, которые маскируют вредоносный код. Всего выявлено 77 заражённых программ, среди них Joker и Harly, суммарно установленные более 19 миллионов раз.
Обновлённые версии HOOK и Anatsa демонстрируют общую тенденцию: мобильные трояны становятся универсальными инструментами, объединяя кражу финансовых данных, скрытую слежку, шантаж и дистанционное управление устройствами. Масштаб угрозы растёт, а методы распространения становятся всё более изощрёнными, что повышает риски для пользователей, финансовых организаций и корпоративных сетей.