I ricercatori di ThreatFabric hanno scoperto un nuovo malware per Android. Hook è un trojan bancario che condivide parte del codice con Ermac. L’autore ha aggiunto alcune funzionalità, tra cui quella di RAT (Remote Access Trojan) che permette di prendere il controllo del dispositivo tramite VNC. Come sempre, il consiglio è installare una soluzione di sicurezza che rileva queste minacce.
Hook: trojan bancario e RAT
Ermac è stato offerto in abbonamento (5.000 dollari/mese) su diversi forum del dak web. Utilizzando il codice sorgente sono stati creati altri malware simili, uno dei quali è Hook. I ricercatori di ThreatFabric hanno scoperto che Hook viene sviluppato e aggiornato dallo stesso autore di Ermac (DukeEugene).
Hook usa lo stesso meccanismo di crittografia (AES-256-CBC) per la comunicazione con il server C2C (command and control), ma al traffico HTTP è stata aggiunta anche la comunicazione WebSocket. Il nuovo malware offre inoltre funzionalità RAT attraverso VNC. Abusando dei servizi di accessibilità, i cybercriminali possono accedere al dispositivo da remoto e interagire con l’interfaccia di Android.
Hook consente quindi di simulare tap, swipe e scrolling, scattare screenshot, sbloccare il dispositivo, scaricare file e immagini, rubare le “seed phrases” dei wallet di criptovalute. Il malware offre anche due funzionalità di spyware, ovvero l’accesso ai messaggi di WhatsApp e il tracciamento della posizione geografica. Le vittime si trovano principalmente negli Stati Uniti, ma sono in diversi paesi, Italia inclusa.