Zimperiumの研究によると、Hookアンドロイドバンキングトロイの新型亜種が発見された。この亜種は2025年8月にDark ReadingのElizabeth Montalbano氏によって報告され、ランサムウェア形式のオーバーレイ機能を備えている。
Hookトロイは2023年初頭に初めて発見されたマルウェアで、ErmacマルウェアおよびCerberusマルウェアから進化したものである。最新バージョンは107のリモートコマンドをサポートし、そのうち38が新たに追加された。新機能には全画面ランサムウェアオーバーレイ、偽のNFCスキャン画面、デバイスのロック画面バイパス、透明オーバーレイによるユーザージェスチャーの記録、リアルタイム画面ストリーミングが含まれる。
Zimperiumの研究者Vishnu Pratapagiri氏が発表したブログによると、攻撃者は従来のフィッシングウェブサイトに加えてGitHubプラットフォームを使用してAPKファイルを配布している。Google Play Protectは既知バージョンのマルウェアからユーザーを保護するが、Google Playストアでは同マルウェアを含むアプリは発見されていない。
From: 
Hook Android Trojan Now Delivers Ransomware-Style Attacks
【編集部解説】
今回のHookアンドロイドトロイの進化は、モバイルマルウェアが従来の枠組みを越えて複合的脅威へと変貌している現状を象徴する事例です。107のリモートコマンドという数字は、その機能の豊富さを物語っており、これまでのAndroidマルウェアの中でも最高水準の技術的複雑性を示しています。
特に注目すべきは、従来の銀行系マルウェアがランサムウェアの戦術を組み込んだ点です。全画面のランサムウェアオーバーレイ機能により、デバイスを人質に取って身代金を要求する手法は、モバイル脅威の新たな収益モデルを確立する可能性があります。
分散プラットフォームとしてGitHubが悪用されている実態も深刻です。近年、正当なコードリポジトリの信頼性を逆手に取った配布手法が増加傾向にあります。
透明オーバーレイによるユーザージェスチャーの記録機能は、従来のキーロガーを超越した監視レベルを実現します。これにより攻撃者は、パスワード入力のタイミングや画面タップのパターンまで把握し、より精巧なソーシャルエンジニアリング攻撃を構築することが可能になります。
企業環境への影響は計り知れません。モバイルデバイスが企業インフラの重要な一部となった現在、このような高度なマルウェアの侵入は、機密情報の漏洩から業務継続性の阻害まで、多層的なリスクをもたらします。
技術的な観点では、今後さらなる機能拡張が予想されます。これは、マルウェア開発者が長期的な視点で技術投資を行っていることを意味し、一時的な対策では根本的な解決に至らない可能性を示唆しています。
【用語解説】
Hookアンドロイドトロイ
2023年初頭に発見されたAndroid端末を標的とするバンキングトロイの木馬。ErmacマルウェアやCerberusマルウェアから進化したもので、現在107のリモートコマンドをサポートし、最新バージョンで38の新機能が追加された。
ランサムウェアオーバーレイ
端末画面全体を覆い隠して身代金要求メッセージを表示する機能。従来のデスクトップ向けランサムウェアと同様の手法をモバイル端末で実現する。
APKファイル
Android Package Kitの略称。Android向けアプリケーションのインストールパッケージファイル形式。正規のGoogle Play Store以外からもインストール可能だが、悪意のあるAPKファイルによるマルウェア感染のリスクがある。
アクセシビリティサービス
Android OSの支援技術機能。視覚や聴覚に障害のあるユーザーを支援するためのサービスだが、マルウェアがこの機能を悪用して端末を遠隔操作することがある。
コマンド・アンド・コントロール(C2)サーバー
マルウェアが感染端末から指示を受け取るために使用するサーバー。攻撃者が遠隔から感染端末を制御するための中継点として機能する。
WebViewオーバーレイ
Android端末上でウェブページを表示するためのコンポーネントを使った偽の画面表示機能。正規のアプリ画面に重ねて表示し、ユーザーから情報を盗み取る。
【参考リンク】
Zimperium(外部)
AI駆動のモバイルセキュリティソリューションを提供する企業。Hook研究発表のzLabsチーム擁する。
Dark Reading(外部)
Informa TechTargetが運営するサイバーセキュリティ専門メディア。最新脅威情報を報じる。
The Hacker News(外部)
サイバーセキュリティニュースの信頼できる情報源。防御側視点から最新情報を提供。
Infosecurity Magazine(外部)
情報セキュリティの戦略と技術に特化した専門誌。IT専門家向け情報を提供。
【参考記事】
Hook Version 3: The Banking Trojan with The Most Advanced Capabilities(外部)
Zimperium zLabsによるHook Android Trojanの詳細分析レポート。107コマンドと38新機能について解説。
HOOK Android Trojan Adds Ransomware Overlays(外部)
The Hacker Newsの詳細記事。ERMACから派生し107リモートコマンドに拡張された経緯を解説。
New Android Trojan Variant Expands with Ransomware Tactics(外部)
Infosecurity MagazineによるHook進化分析。GitHub配布拡大と脅威カテゴリ融合について報告。
Android Banking Trojan ‘Hook’ Evolves with Ransomware Capabilities(外部)
Cyber Insiderの分析記事。Deepwatch専門家による脅威検出数増加データを引用。
【編集部後記】
モバイル端末が私たちの生活や仕事に深く根ざした今、「AndroidマルウェアはGoogle Play Storeを使っていれば安全」という認識は、もはや通用しない時代になっているのかもしれません。
皆さんは普段、どのような基準でアプリをダウンロードされていますか?また企業でBYODやモバイルワークを導入されている組織では、従業員の端末セキュリティをどのように管理されているでしょうか。今回のHookトロイのようにGitHubという信頼度の高いプラットフォームまで悪用される状況を目の当たりにして、私たちinnovaTopia編集部も改めて「モバイルセキュリティの新たな地平」について考え込んでしまいました。
読者の皆さんと一緒に、この複雑化する脅威環境にどう向き合っていけばよいかを考えていければと思います。
