Un nuevo an\u00e1lisis del troyano bancario para Android conocido como Hook ha revelado que est\u00e1 basado en su predecesor llamado ERMAC.<\/p>\n
“El c\u00f3digo fuente de ERMAC se utiliz\u00f3 como base para Hook”, afirman los investigadores de seguridad del Grupo NCC, Joshua Kamp y Alberto Segura. dicho<\/a> en un an\u00e1lisis t\u00e9cnico publicado la semana pasada.<\/p>\n “Todos los comandos (30 en total) que el operador de malware puede enviar a un dispositivo infectado con malware ERMAC tambi\u00e9n existen en Hook. La implementaci\u00f3n del c\u00f3digo para estos comandos es casi id\u00e9ntica”.<\/p>\n Hook fue documentado por primera vez por ThreatFabric en enero de 2023, describi\u00e9ndolo como una “bifurcaci\u00f3n ERMAC” que se ofrece a la venta por 7000 d\u00f3lares al mes. Ambas cepas son obra de un autor de malware llamado DukeEugene.<\/p>\n Dicho esto, Hook ampl\u00eda las funcionalidades de ERMAC con m\u00e1s capacidades, admitiendo hasta 38 comandos adicionales en comparaci\u00f3n con este \u00faltimo.<\/p>\n Las funciones principales de ERMAC est\u00e1n dise\u00f1adas para enviar mensajes SMS, mostrar una ventana de phishing encima de una aplicaci\u00f3n leg\u00edtima, extraer una lista de aplicaciones instaladas, recopilar mensajes SMS y desviar frases iniciales de recuperaci\u00f3n para m\u00faltiples billeteras de criptomonedas.<\/p>\n Hook, por otro lado, va un paso m\u00e1s all\u00e1 al transmitir la pantalla de la v\u00edctima e interactuar con la interfaz de usuario para obtener un control total sobre un dispositivo infectado, capturando fotos de la v\u00edctima usando la c\u00e1mara frontal, recolectando cookies relacionadas con las sesiones de inicio de sesi\u00f3n de Google, y saquear semillas de recuperaci\u00f3n de m\u00e1s billeteras criptogr\u00e1ficas.<\/p>\n Adem\u00e1s, puede enviar un mensaje SMS a varios n\u00fameros de tel\u00e9fono, propagando eficazmente el malware a otros usuarios.<\/p>\n Independientemente de estas diferencias, tanto Hook como ERMAC pueden registrar pulsaciones de teclas y abusar de los servicios de accesibilidad de Android para realizar ataques de superposici\u00f3n con el fin de mostrar contenido encima de otras aplicaciones y robar credenciales de m\u00e1s de 700 aplicaciones. La lista de aplicaciones a las que apuntar se recupera sobre la marcha mediante una solicitud a un servidor remoto.<\/p>\n Las familias de malware tambi\u00e9n est\u00e1n dise\u00f1adas para monitorear eventos del portapapeles y reemplazar el contenido con una billetera controlada por el atacante en caso de que la v\u00edctima copie una direcci\u00f3n de billetera leg\u00edtima.<\/p>\n La mayor\u00eda de los servidores de comando y control (C2) de Hook y ERMAC est\u00e1n ubicados en Rusia, seguida de los Pa\u00edses Bajos, el Reino Unido, los EE. UU., Alemania, Francia, Corea y Jap\u00f3n.<\/p>\n A partir del 19 de abril de 2023, parece que el proyecto Hook se cerr\u00f3, seg\u00fan una publicaci\u00f3n compartida por DukeEugene, quien afirm\u00f3 que se iba a una “operaci\u00f3n militar especial” y que otro actor llamado proporcionar\u00eda soporte para el software. RedDragon hasta que se agote la suscripci\u00f3n de los clientes.<\/p>\n Posteriormente, el 11 de mayo de 2023, se dice que RedDragon vendi\u00f3 el c\u00f3digo fuente de Hook por 70.000 d\u00f3lares en un foro clandestino. Dejando a un lado la corta vida \u00fatil de Hook, el desarrollo ha planteado la posibilidad de que otros actores de amenazas puedan retomar el trabajo y lanzar nuevas variantes en el futuro.<\/p>\n La divulgaci\u00f3n se produce cuando un actor de amenazas del nexo con China ha sido vinculado a una campa\u00f1a de software esp\u00eda de Android dirigida a usuarios en Corea del Sur desde principios de julio de 2023.<\/p>\n “El malware se distribuye a trav\u00e9s de sitios web de phishing enga\u00f1osos que se hacen pasar por sitios para adultos pero que en realidad entregan el archivo APK malicioso”, Cyble dicho<\/a>. “Una vez que el malware ha infectado la m\u00e1quina de la v\u00edctima, puede robar una amplia gama de informaci\u00f3n confidencial, incluidos contactos, mensajes SMS, registros de llamadas, im\u00e1genes, archivos de audio, grabaciones de pantalla y capturas de pantalla”.<\/p>\n La identidad es el nuevo punto final: dominar la seguridad SaaS en la era moderna<\/p>\n <\/a><\/p>\n Sum\u00e9rgete en el futuro de la seguridad SaaS con Maor Bin, director ejecutivo de Adaptive Shield. Descubra por qu\u00e9 la identidad es el nuevo punto final. Asegura tu lugar ahora.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/09\/El-malware-para-Android-Infame-Chisel-respaldado-por-el-Estado.png\")
<\/a><\/center><\/section>\n![\"Troyano](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgUL30ZmNmMmWgBt0phmDfNr1JP0YBTlAK2oRealHN7TE91cYhfUDoRkvD5FoY2mq09jaTZh_t71rkoW-OWn1GkN1ZMQbJp217IMvJu0-pVLjQ98wfRi-R6PoIbDN6UBuUdGs-b5kiVvxbS64vZshH5xV_SAjzC9CxGPhZXjlbFmq0Gp7wrI6UjF0fjvToB\/s728-e3650\/android.jpg\" "\\"Troyano")
<\/div>\n