Des cybercriminels vendent le malware Android ‘Hook’ pour le contrôle à distance des smartphones

Dans un rapport de ThreatFabric, un malware Android nommé ‘Hook’ est vendu par des cybercriminels qui se vantent qu’il peut prendre le contrôle à distance des smartphones en temps réel en utilisant le Virtual Network Computing (VNC).

Pour ceux qui ne le savent pas, le Virtual Network Computing est un système de partage d’écran multiplateforme permettant de contrôler un autre ordinateur à distance.

Pour continuer, le malware serait promu par les créateurs d’Ermac ; c’est également un malware Android vendu à 5 000 $/mois aux attaquants, ce qui leur permet de voler des informations provenant d’applications bancaires et crypto en utilisant des pages de connexion superposées.

Le malware est distribué sous forme d’APK Google Chrome via ces noms de package “ com.lojbiwawajinu.guna ”, “ com.damaariwonomivi.docebi ”, et “ com.yecomevusaso.pisifo ”.

Cela dit, le créateur du malware affirme que le nouveau code du malware ‘Hook’ a été écrit de zéro, bien que selon la société de sécurité, des codes substantiels des deux malwares Android aient été trouvés qui superposent leurs codes, ‘Hook’ ayant des fonctionnalités supplémentaires par rapport à l’ancien.

De plus, la société de sécurité mentionne que le malware contient encore la plupart du code d’Ermac, donc il s’agit toujours d’un malware bancaire, bien qu’il y ait encore certaines parties inutiles trouvées dans la souche plus ancienne, ce qui montre que le code est réutilisé en grande partie.

Dans ce sens, le ‘Hook’, le malware Android, est une version évoluée de l’Ermac et possède des fonctionnalités étendues qui en font une menace très dangereuse pour les utilisateurs d’Android.

L’une des fonctionnalités que ‘Hook’ a par rapport à l’Ermac est la communication WebSocket qui s’ajoute au trafic HTTP largement utilisé par Ermac. Le réseau utilisé est toujours crypté par une clé codée en dur AES-256-CBC.

Bien que ce ne soit pas tout, la principale caractéristique du malware est le VNC qui permet aux attaquants de communiquer avec l’interface du smartphone infecté en temps réel. Cela permet au malware d’effectuer n’importe quelle action sur l’appareil compromis, allant des informations personnellement identifiables (PII) aux transactions monétaires.

Eh bien, le malware Android se retrouve dans la liste des malwares capables d’effectuer un Objet de Transfert de Données Complet (FDT) et d’exécuter une chaîne complète de fraude, de l’exfiltration de PII aux transactions avec toutes les étapes intermédiaires et sans avoir besoin de canaux supplémentaires, a déclaré ThreatFabric.

Cela rend l’attaque difficile à détecter par les mécanismes de scoring de fraude et ce sont de nouveaux commandes que le malware peut exécuter en plus de celles similaires à Ermac.

• Démarrer/Arrêter RAT.

• Exécuter un geste de glissement spécifique.

• Prendre une capture d’écran.

• Stimuler un clic sur un élément de texte spécifique.

• Stimuler une pression sur une touche telle que (Accueil/Retour/Récents/Verrouiller/Dialogue d’alimentation).

• Déverrouiller l’appareil.

• Faire défiler vers le haut et vers le bas.

• Stimuler une pression longue.

• Stimuler un clic à des coordonnées spécifiques.

• Définir la valeur du presse-papiers sur un élément d’interface utilisateur avec une valeur de coordonnées spécifique.

• Stimuler une valeur de clic sur un élément d’interface utilisateur avec une valeur de texte spécifique.

• Définir un élément d’interface utilisateur sur un texte spécifique.

À part ces commandes, une commande de gestion de fichiers transforme le malware en gestionnaire de fichiers et les attaquants obtiennent l’enregistrement de tous les fichiers stockés dans le gestionnaire de fichiers et téléchargent le fichier de leur choix.

Eh bien, attendez, il y a plus ; une autre commande que la société de sécurité a trouvée est liée à Whatsapp, ce qui permet au malware d’enregistrer tous les messages dans Whatsapp et même de permettre aux attaquants d’envoyer des messages depuis le compte de la victime.

Dernier point mais non des moindres, un mécanisme de suivi de géolocalisation aide le malware à obtenir la localisation de la victime en exploitant la permission ‘Accéder à la localisation précise’.

Voici les pays dans lesquels Hook a ciblé les utilisateurs d’applications bancaires – Espagne, Australie, Pologne, Canada, Royaume-Uni, France, Italie, Turquie, Portugal et États-Unis. Bien qu’une chose importante à noter ici est que le ‘Hook’ cible à l’échelle mondiale.

De plus, ThreatFabric a listé toutes les applications qu’il cible pour ceux qui sont intéressés.

Lire : Les hackers infiltrent les systèmes de CircleCi via le SSO 2FA infecté d’un ingénieur