Cybercriminali vendono malware Android 'Hook' per il controllo remoto degli smartphone

In un rapporto di ThreatFabric, un malware Android di nome ‘Hook’ è in vendita da parte di criminali informatici che si vantano di poter prendere il controllo remoto degli smartphone in tempo reale utilizzando il Virtual Network Computing (VNC).

Per chi non lo sapesse, il Virtual Network Computing è un sistema di condivisione dello schermo multipiattaforma per controllare un altro computer da remoto.

Proseguendo, si dice che il malware sia promosso dai creatori di Ermac; è anche un malware Android venduto a $5.000/mese agli attaccanti, il che a sua volta li aiuta a rubare informazioni da app bancarie e crypto utilizzando pagine di accesso sovrapposte.

Il malware viene distribuito come APK di Google Chrome tramite questi nomi di pacchetto “ com.lojbiwawajinu.guna “, “ com.damaariwonomivi.docebi “, e “ com.yecomevusaso.pisifo “.

Detto ciò, il creatore del malware afferma che il nuovo codice del malware ‘Hook’ è stato scritto da zero, anche se secondo la società di sicurezza, sono stati trovati codici sostanziali dei due malware Android che si sovrappongono, con ‘Hook’ che ha funzionalità extra rispetto al precedente.

Inoltre, la società di sicurezza menziona che il malware contiene ancora la maggior parte del codice di Ermac, quindi è ancora un malware bancario, anche se ci sono ancora alcune parti inutili trovate nella vecchia variante, il che dimostra che il codice è riutilizzato in massa.

In questo senso, ‘Hook’, il malware Android, è una versione evoluta di Ermac e ha funzionalità estese che lo rendono una minaccia molto pericolosa per gli utenti Android.

Una delle funzionalità che ‘Hook’ ha rispetto a Ermac è la comunicazione WebSocket che si aggiunge al traffico HTTP ampiamente utilizzato da Ermac. La rete utilizzata è ancora crittografata da una chiave hardcoded AES-256-CBC.

Anche se non è tutto, la caratteristica principale del malware è il VNC che consente agli attaccanti di comunicare con l’interfaccia dello smartphone infetto in tempo reale. Questo consente al malware di eseguire qualsiasi operazione sul dispositivo compromesso, che vanno dalle informazioni personali identificabili (PII) alle transazioni monetarie.

Bene, il malware Android si trova nella lista dei malware in grado di effettuare un Full Data Transfer Object (FDT) e di eseguire un’intera catena di frode dall’exfiltrazione di PII alle transazioni con tutti i passaggi intermedi e senza necessità di canali extra, ha detto ThreatFabric.

Questo rende l’attacco difficile da rilevare dai meccanismi di scoring delle frodi e questi sono nuovi comandi che il malware può eseguire oltre a quelli simili a Ermac.

• Avvia/Arresta RAT.

• Esegui un gesto di swipe specifico.

• Fai uno screenshot.

• Stimola un clic su un elemento di testo specifico.

• Stimola una pressione di un tasto come (Home/Back/Recent/Lock/Powerdialog.

• Sblocca il dispositivo.

• Scorri su e giù.

• Stimola una pressione prolungata.

• Stimola un clic a una coordinata specifica.

• Imposta il valore degli appunti su un elemento UI con un valore di coordinata specifico.

• Stimola il valore di clic su un elemento UI con un valore di testo specifico.

• Imposta un elemento UI su un testo specifico.

Oltre a questi comandi, un comando File Manager trasforma il malware in un gestore di file e gli attaccanti ottengono il record di tutti i file memorizzati nel gestore di file e possono scaricare il file di loro gradimento.

Bene, aspetta, c’è di più; un altro comando che la società di sicurezza ha trovato è relativo a Whatsapp, che consente al malware di registrare tutti i messaggi in Whatsapp e persino consente agli attaccanti di inviare messaggi dall’account della vittima.

Ultimo ma non meno importante, un meccanismo di tracciamento della geolocalizzazione aiuta il malware a ottenere la posizione della vittima sfruttando il permesso ‘Access Fine Location’.

Questi sono i paesi in cui Hook ha preso di mira gli utenti di app bancarie – Spagna, Australia, Polonia, Canada, Regno Unito, Francia, Italia, Turchia, Portogallo e Stati Uniti. Anche se una cosa importante da notare qui è che ‘Hook’ prende di mira a livello mondiale.

Inoltre, ThreatFabric ha elencato tutte le app che prende di mira per coloro che sono interessati.

Leggi: Gli hacker violano i sistemi di CircleCi tramite l’SSO supportato da 2FA infetto