Un nuevo análisis del troyano bancario para Android conocido como Hook ha revelado que está basado en su predecesor llamado ERMAC.
“El código fuente de ERMAC se utilizó como base para Hook”, afirman los investigadores de seguridad del Grupo NCC, Joshua Kamp y Alberto Segura. dicho en un análisis técnico publicado la semana pasada.
“Todos los comandos (30 en total) que el operador de malware puede enviar a un dispositivo infectado con malware ERMAC también existen en Hook. La implementación del código para estos comandos es casi idéntica”.
Hook fue documentado por primera vez por ThreatFabric en enero de 2023, describiéndolo como una “bifurcación ERMAC” que se ofrece a la venta por 7000 dólares al mes. Ambas cepas son obra de un autor de malware llamado DukeEugene.
Dicho esto, Hook amplía las funcionalidades de ERMAC con más capacidades, admitiendo hasta 38 comandos adicionales en comparación con este último.
Las funciones principales de ERMAC están diseñadas para enviar mensajes SMS, mostrar una ventana de phishing encima de una aplicación legítima, extraer una lista de aplicaciones instaladas, recopilar mensajes SMS y desviar frases iniciales de recuperación para múltiples billeteras de criptomonedas.
Hook, por otro lado, va un paso más allá al transmitir la pantalla de la víctima e interactuar con la interfaz de usuario para obtener un control total sobre un dispositivo infectado, capturando fotos de la víctima usando la cámara frontal, recolectando cookies relacionadas con las sesiones de inicio de sesión de Google, y saquear semillas de recuperación de más billeteras criptográficas.
Además, puede enviar un mensaje SMS a varios números de teléfono, propagando eficazmente el malware a otros usuarios.
Independientemente de estas diferencias, tanto Hook como ERMAC pueden registrar pulsaciones de teclas y abusar de los servicios de accesibilidad de Android para realizar ataques de superposición con el fin de mostrar contenido encima de otras aplicaciones y robar credenciales de más de 700 aplicaciones. La lista de aplicaciones a las que apuntar se recupera sobre la marcha mediante una solicitud a un servidor remoto.
Las familias de malware también están diseñadas para monitorear eventos del portapapeles y reemplazar el contenido con una billetera controlada por el atacante en caso de que la víctima copie una dirección de billetera legítima.
La mayoría de los servidores de comando y control (C2) de Hook y ERMAC están ubicados en Rusia, seguida de los Países Bajos, el Reino Unido, los EE. UU., Alemania, Francia, Corea y Japón.
A partir del 19 de abril de 2023, parece que el proyecto Hook se cerró, según una publicación compartida por DukeEugene, quien afirmó que se iba a una “operación militar especial” y que otro actor llamado proporcionaría soporte para el software. RedDragon hasta que se agote la suscripción de los clientes.
Posteriormente, el 11 de mayo de 2023, se dice que RedDragon vendió el código fuente de Hook por 70.000 dólares en un foro clandestino. Dejando a un lado la corta vida útil de Hook, el desarrollo ha planteado la posibilidad de que otros actores de amenazas puedan retomar el trabajo y lanzar nuevas variantes en el futuro.
La divulgación se produce cuando un actor de amenazas del nexo con China ha sido vinculado a una campaña de software espía de Android dirigida a usuarios en Corea del Sur desde principios de julio de 2023.
“El malware se distribuye a través de sitios web de phishing engañosos que se hacen pasar por sitios para adultos pero que en realidad entregan el archivo APK malicioso”, Cyble dicho. “Una vez que el malware ha infectado la máquina de la víctima, puede robar una amplia gama de información confidencial, incluidos contactos, mensajes SMS, registros de llamadas, imágenes, archivos de audio, grabaciones de pantalla y capturas de pantalla”.
La identidad es el nuevo punto final: dominar la seguridad SaaS en la era moderna
Sumérgete en el futuro de la seguridad SaaS con Maor Bin, director ejecutivo de Adaptive Shield. Descubra por qué la identidad es el nuevo punto final. Asegura tu lugar ahora.
Además de eso, el malware (nombre del paquete APK “com.example.middlerankapp”) aprovecha los servicios de accesibilidad para monitorear las aplicaciones utilizadas por las víctimas y evitar la desinstalación.
También contiene una función que permite al malware redirigir las llamadas entrantes a un número de móvil designado controlado por el atacante, interceptar mensajes SMS e incorporar una funcionalidad de registro de teclas sin terminar, lo que indica que probablemente esté en desarrollo activo.
Las conexiones con China surgen de referencias a Hong Kong en la información de registro de WHOIS para el servidor C2, así como de la presencia de varias cadenas en idioma chino, incluido “中国共产党万岁”, en el código fuente del malware, que se traduce como “Larga vida a los Partido Comunista de China.”
En un acontecimiento relacionado, el periódico israelí Haaretz reveló que una empresa nacional de software espía, Insanet, ha desarrollado un producto llamado Sherlock que puede infectar dispositivos a través de anuncios en línea para espiar objetivos y recopilar datos confidenciales de los sistemas Android, iOS y Windows.
Se dice que el sistema fue vendido a un país que no es una democracia, informó, agregando que varias empresas cibernéticas israelíes han intentado desarrollar tecnología ofensiva que explota anuncios para perfilar a las víctimas (un término llamado AdInt o inteligencia publicitaria) y distribuir software espía. .
About the Author
