L’autore dei trojan bancari Android, BlackRock ed ERMAC ha concepito un altro malware chiamato Hook che introduce nuove funzionalità per avere accesso ai file archiviati nei dispositivi e creare una sessione interattiva remota.

ThreatFabric (azienda olandese di sicurezza informatica), in un rapporto condiviso con la testata The Hacker News, ha descritto Hook come una nuova diramazione di ERMAC anche se presenta “tutte le capacità del suo predecessore”, viene pubblicizzato per la vendita a $ 7.000 al mese.

“Inoltre, aggiunge al suo corredo anche le funzionalità RAT (Remote Access Tooling), arrivando ad allinearsi a trojan come Octo e Hydra , che sono in grado di eseguire un completo Device Take Over (DTO) e completare un’intera catena di frodi, iniziando da una fuoriuscita di informazioni personali arrivando alla transazione, con tutti i passaggi intermedi, senza la necessità di canali aggiuntivi”, ha affermato l’azienda olandese di sicurezza informatica.

La maggior parte delle app finanziarie prese di mira dal malware si trovano negli Stati Uniti, in Spagna, Australia, Polonia, Canada, Turchia, Regno Unito, Francia, Italia e Portogallo.

Hook è l’opera di un hacker noto come DukeEugene e rappresenta, come abbiamo detto, l’ultima evoluzione di ERMAC, che è stata divulgata per la prima volta nel settembre 2021 e si basa su un altro trojan chiamato Cerberus il cui codice sorgente è stato scoperto nel 2020.

“ERMAC è sempre stato un passo dietro Hydra e Octo in termini di capacità e caratteristiche”, ha dichiarato via e-mail il ricercatore di ThreatFabric Dario Durando a The Hacker News. “Questo è noto anche tra gli hacker, che preferiscono i due trojan rispetto a ERMAC”.

“La mancanza di una funzionalità RAT è un grosso problema per un moderno Android Banker, in quanto non offre la possibilità di eseguire un controllo del dispositivo (Device Take Over – DTO), che è poi il metodo di frode che ha maggiori probabilità di avere successo e non essere rilevato dai motori di valutazione delle frodi o dagli analisti delle frodi. Questo è, molto probabilmente, ciò che ha innescato lo sviluppo di questa nuova variante di malware.”

Come altri malware Android di questo genere, Hook si serve delle API dei servizi di accessibilità di Android per condurre attacchi overlay e raccogliere tutti i tipi di informazioni sensibili come contatti, registri delle chiamate, sequenze di tasti, token di autenticazione a due fattori (2FA) e persino messaggi WhatsApp.

Presenta anche un elenco ampliato di app che includono ABN AMRO e Barclays, mentre gli stessi pacchetti dannosi si mascherano da browser Web Google Chrome per indurre gli utenti ignari a scaricare il malware:

• lojibiwawajinu.guna
• damariwonomiwi.docebi
• yecomevusaso.pisifo

Tra le altre principali funzionalità che possiede Hook c’è la possibilità di visualizzare e interagire in remoto con lo schermo del dispositivo infetto, ottenere file, estrarre seed phrase* da portafogli crittografici e tracciare la posizione del telefono, attenuando il confine tra spyware e malware bancario. 

ThreatFabric ha dichiarato che gli artefatti di Hook osservati finora in fase di test, potrebbero essere inviati tramite campagne di phishing, canali di Telegram o sotto forma di app dropper di Google Play Store.

“Lo svantaggio principale della creazione di un nuovo malware è solitamene guadagnarsi la fiducia da parte di altri hacker ma con il curriculum di DukeEugene tra i criminali, è molto probabile che non sarà un problema per Hook”, ha dichiarato Durando.

*Il Seed phrase è una serie di parole che permettono di generare o rigenerare l’albero delle chiavi, che danno accesso al proprio portafoglio di criptovaluta