Ciberdelincuentes Venden Malware Android ‘Hook’ para Control Remoto de Smartphones

En un informe de ThreatFabric, un malware Android llamado ‘Hook’ está siendo vendido por ciberdelincuentes que presumen que puede tomar el control remoto de smartphones en tiempo real utilizando Virtual Network Computing (VNC).

Para aquellos que no lo saben, Virtual Network Computing es un sistema de compartición de pantalla multiplataforma para controlar otro ordenador de forma remota.

Continuando, se dice que el malware es promovido por los creadores de Ermac; también es un malware Android que se vende a $5,000/mes a los atacantes, lo que a su vez les ayuda a robar información de aplicaciones bancarias y de criptomonedas utilizando páginas de inicio de sesión superpuestas.

El malware se distribuye como un APK de Google Chrome a través de estos nombres de paquete “ com.lojbiwawajinu.guna ”, “ com.damaariwonomivi.docebi ”, y “ com.yecomevusaso.pisifo ”.

Dicho esto, el creador del malware afirma que el nuevo código del malware ‘Hook’ fue escrito desde cero, aunque según la firma de seguridad, se han encontrado códigos sustanciales de los dos malware Android que se superponen entre sí, con ‘Hook’ teniendo características adicionales sobre el anterior.

Además, la firma de seguridad menciona que el malware aún contiene la mayor parte del código de Ermac, por lo que sigue siendo un malware bancario, aunque todavía hay algunas partes inútiles encontradas en la cepa anterior, lo que muestra que el código se reutiliza en gran medida.

En ese sentido, el ‘Hook’, el malware android, es una versión evolucionada de Ermac y tiene características extensas que lo convierten en una amenaza muy peligrosa para los usuarios de Android.

Una de las características que ‘Hook’ tiene sobre Ermac es la comunicación WebSocket, que se suma al tráfico HTTP utilizado extensamente por Ermac. La red utilizada sigue siendo encriptada por una clave codificada AES-256-CBC.

Aunque eso no es todo, la característica principal del malware es el VNC que permite a los atacantes comunicarse con la interfaz del smartphone infectado en tiempo real. Esto permite que el malware realice cualquier acción en el dispositivo comprometido, desde Información Personal Identificable (PII) hasta transacciones monetarias.

Bueno, el malware Android se encuentra en la lista de malware que es capaz de realizar un Objeto de Transferencia de Datos Completo (FDT) y ejecutar una cadena completa de fraude desde la exfiltración de PII hasta transacciones con todos los pasos intermedios y sin necesidad de canales adicionales, dijo ThreatFabric.

Esto hace que el ataque sea difícil de detectar por los mecanismos de puntuación de fraude y estos son nuevos comandos que el malware puede ejecutar además de aquellos que son similares a Ermac.

• Iniciar/Detener RAT.

• Ejecutar un gesto de deslizamiento específico.

• Tomar una captura de pantalla.

• Estimular un clic en un elemento de texto específico.

• Estimular una pulsación de tecla como (Inicio/Atrás/Reciente/Bloquear/Diálogo de energía).

• Desbloquear el dispositivo.

• Desplazarse hacia arriba y hacia abajo.

• Estimular una pulsación larga.

• Estimular un clic en una coordenada específica.

• Establecer el valor del portapapeles en un elemento de UI con un valor de coordenada específico.

• Estimular un valor de clic en un elemento de UI con un valor de texto específico.

• Establecer un elemento de UI a un texto específico.

Aparte de estos comandos, un comando de Administrador de Archivos convierte al malware en un administrador de archivos y los atacantes obtienen el registro de todos los archivos almacenados en el administrador de archivos y descargan el archivo de su elección.

Bueno, espera, hay más; otro comando que la firma de seguridad encontró está relacionado con Whatsapp, que permite al malware registrar todos los mensajes en Whatsapp e incluso permite a los atacantes enviar mensajes desde la cuenta de la víctima.

Por último, pero no menos importante, un mecanismo de seguimiento de geolocalización ayuda al malware a obtener la ubicación de la víctima explotando el permiso ‘Acceder a la ubicación precisa’.

Estos son los países en los que Hook ha dirigido a los usuarios de aplicaciones bancarias: España, Australia, Polonia, Canadá, Reino Unido, Francia, Italia, Turquía, Portugal y Estados Unidos. Aunque una cosa importante a tener en cuenta aquí es que ‘Hook’ tiene como objetivo a nivel mundial.

Además, ThreatFabric ha enumerado todas las aplicaciones que tiene como objetivo para aquellos que estén interesados.

Leer: Los hackers vulneran los sistemas de CircleCi a través del SSO respaldado por 2FA infectado de un ingeniero