Cibercriminosos Vendendo Malware Android ‘Hook’ para Controle Remoto de Smartphones

Em um relatório da ThreatFabric, um malware Android chamado ‘Hook’ está sendo vendido por cibercriminosos que se gabam de que ele pode assumir o controle remoto de smartphones em tempo real usando Virtual Network Computing (VNC).

Para aqueles que não sabem, Virtual Network Computing é um sistema de compartilhamento de tela multiplataforma para controlar outro computador remotamente.

Seguindo em frente, o malware é dito ser promovido pelos criadores do Ermac; também é um malware Android sendo vendido por $5.000/mês para os atacantes, o que, por sua vez, os ajuda a roubar informações de aplicativos bancários e de criptomoedas usando páginas de login sobrepostas.

O malware está sendo distribuído como um APK do Google Chrome através desses nomes de pacote “ com.lojbiwawajinu.guna ”, “ com.damaariwonomivi.docebi ”, e “ com.yecomevusaso.pisifo ”.

Dito isso, o criador do malware afirma que o novo código do malware ‘Hook’ foi escrito do zero, embora, de acordo com a empresa de segurança, códigos substanciais dos dois malwares Android tenham sido encontrados que sobrepõem os códigos um do outro, com ‘Hook’ tendo recursos extras em relação ao anterior.

Além disso, a empresa de segurança menciona que o malware ainda contém a maior parte do código do Ermac, portanto, ainda é um malware bancário, embora ainda haja algumas partes inúteis encontradas na cepa mais antiga, o que mostra que o código é reutilizado em massa.

Nesse sentido, o ‘Hook’, o malware android, é uma versão evoluída do Ermac e possui recursos extensivos que o tornam uma ameaça muito perigosa para os usuários Android.

Um dos recursos que o ‘Hook’ possui sobre o Ermac é a comunicação WebSocket, que vem além do tráfego HTTP amplamente utilizado pelo Ermac. A rede utilizada ainda é criptografada por uma chave hardcoded AES-256-CBC.

Embora isso não seja tudo, o principal recurso do malware é o VNC que permite que os atacantes se comuniquem com a interface do smartphone infectado em tempo real. Isso permite que o malware execute qualquer coisa no dispositivo comprometido, variando de Informações Pessoais Identificáveis (PII) a transações monetárias.

Bem, o malware Android se encontra na lista de malwares que são capazes de realizar um Objeto de Transferência de Dados Completo (FDT) e executar uma cadeia completa de Fraude, desde a exfiltração de PII até transações com todos os passos intermediários e sem precisar de canais extras, disse a ThreatFabric.

Isso torna o ataque difícil de detectar mecanismos de pontuação de fraude e esses são novos comandos que o Malware pode executar além daqueles que são semelhantes ao Ermac.

• Iniciar/Parar RAT.

• Executar um gesto de deslizar específico.

• Tirar uma captura de tela.

• Estimular um clique em um item de texto específico.

• Estimular uma tecla como (Home/Voltar/Recentes/Bloquear/Powerdialog.

• Desbloquear o dispositivo.

• Rolagem para cima e para baixo.

• Estimular uma pressão longa.

• Estimular um clique em uma coordenada específica.

• Definir o valor da área de transferência para um elemento de UI com um valor de coordenada específico.

• Estimular um valor de clique em um elemento de UI com um valor de texto específico.

• Definir um elemento de UI para um texto específico.

Além desses comandos, um comando de Gerenciador de Arquivos transforma o malware em um gerenciador de arquivos e os atacantes obtêm o registro de todos os arquivos armazenados no gerenciador de arquivos e baixam o arquivo de sua preferência.

Bem, espere, tem mais; outro comando que a empresa de segurança encontrou está relacionado ao Whatsapp, que permite que o malware registre todas as mensagens no Whatsapp e até permite que os atacantes enviem mensagens da conta da vítima.

Por último, mas não menos importante, um mecanismo de rastreamento de geolocalização ajuda o malware a obter a localização da vítima explorando a permissão ‘Acessar Localização Precisa’.

Estes são os países nos quais o Hook visou usuários de aplicativos bancários – Espanha, Austrália, Polônia, Canadá, Reino Unido, França, Itália, Turquia, Portugal e Estados Unidos. Embora uma coisa importante a notar aqui é que o ‘Hook’ visa o mundo todo.

Além disso, a ThreatFabric listou todos os aplicativos que ele visa para aqueles que estão interessados.

Leia: Hackers Invadem os Sistemas da CircleCi via SSO com 2FA Infectado