Une nouvelle analyse du cheval de Troie bancaire Android connu sous le nom de Hook a révélé qu’il est basé sur son prédécesseur appelé ERMAC.
« Le code source d’ERMAC a été utilisé comme base pour Hook », affirment Joshua Kamp et Alberto Segura, chercheurs en sécurité du groupe NCC. dit dans une analyse technique publiée la semaine dernière.
« Toutes les commandes (30 au total) que l’opérateur du malware peut envoyer à un appareil infecté par le malware ERMAC existent également dans Hook. L’implémentation du code pour ces commandes est presque identique. »
Hook a été documenté pour la première fois par ThreatFabric en janvier 2023, le décrivant comme un « fork ERMAC » proposé à la vente pour 7 000 $ par mois. Les deux souches sont l’œuvre d’un auteur de malware appelé DukeEugene.
Cela dit, Hook étend les fonctionnalités d’ERMAC avec plus de capacités, prenant en charge jusqu’à 38 commandes supplémentaires par rapport à cette dernière.
Les fonctionnalités principales d’ERMAC sont conçues pour envoyer des messages SMS, afficher une fenêtre de phishing au-dessus d’une application légitime, extraire une liste des applications installées, collecter des messages SMS et siphonner des phrases de départ de récupération pour plusieurs portefeuilles de crypto-monnaie.
Hook, quant à lui, va encore plus loin en diffusant l’écran de la victime et en interagissant avec l’interface utilisateur pour obtenir un contrôle total sur un appareil infecté, en capturant des photos de la victime à l’aide de la caméra frontale, en récoltant des cookies liés aux sessions de connexion Google, et piller les graines de récupération d’un plus grand nombre de portefeuilles cryptographiques.
Il peut en outre envoyer un message SMS à plusieurs numéros de téléphone, propageant ainsi efficacement le logiciel malveillant à d’autres utilisateurs.
Indépendamment de ces différences, Hook et ERMAC peuvent enregistrer les frappes au clavier et abuser des services d’accessibilité d’Android pour mener des attaques par superposition afin d’afficher du contenu au-dessus d’autres applications et de voler les informations d’identification de plus de 700 applications. La liste des applications à cibler est récupérée à la volée via une requête adressée à un serveur distant.
Les familles de logiciels malveillants sont également conçues pour surveiller les événements du presse-papiers et remplacer le contenu par un portefeuille contrôlé par l’attaquant si la victime copie une adresse de portefeuille légitime.
La majorité des serveurs de commande et de contrôle (C2) de Hook et ERMAC sont situés en Russie, suivie par les Pays-Bas, le Royaume-Uni, les États-Unis, l’Allemagne, la France, la Corée et le Japon.
Au 19 avril 2023, il semble que le projet Hook ait été abandonné, selon un message partagé par DukeEugene, qui affirmait partir pour une « opération militaire spéciale » et que le support du logiciel serait assuré par un autre acteur nommé RedDragon jusqu’à épuisement de l’abonnement du client.
Par la suite, le 11 mai 2023, le code source de Hook aurait été vendu par RedDragon pour 70 000 $ sur un forum underground. Mis à part la courte durée de vie de Hook, le développement a soulevé la possibilité que d’autres acteurs malveillants puissent reprendre le travail et publier de nouvelles variantes à l’avenir.
Cette divulgation intervient alors qu’un acteur menaçant lié à la Chine est lié à une campagne de logiciels espions Android ciblant les utilisateurs en Corée du Sud depuis début juillet 2023.
« Le malware est distribué via des sites Web de phishing trompeurs qui se font passer pour des sites pour adultes mais délivrent en réalité le fichier APK malveillant », Cyble dit. « Une fois que le logiciel malveillant a infecté la machine de la victime, il peut voler un large éventail d’informations sensibles, notamment des contacts, des messages SMS, des journaux d’appels, des images, des fichiers audio, des enregistrements d’écran et des captures d’écran. »
L’identité est le nouveau point de terminaison : maîtriser la sécurité SaaS à l’ère moderne
Plongez dans l’avenir de la sécurité SaaS avec Maor Bin, PDG d’Adaptive Shield. Découvrez pourquoi l’identité est le nouveau point final. Réservez votre place maintenant.
De plus, le malware (nom du package APK « com.example.middlerankapp ») profite des services d’accessibilité pour surveiller les applications utilisées par les victimes et empêcher la désinstallation.
Il contient également une fonctionnalité qui permet au malware de rediriger les appels entrants vers un numéro de mobile désigné contrôlé par l’attaquant, d’intercepter les messages SMS et d’incorporer une fonctionnalité d’enregistrement de frappe inachevée, indiquant qu’il est probablement en développement actif.
Les connexions avec la Chine proviennent de références à Hong Kong dans les informations d’enregistrement WHOIS du serveur C2 ainsi que de la présence de plusieurs chaînes en langue chinoise, notamment « 中国共产党万岁 », dans le code source du malware, qui se traduit par « Vive le Parti communiste chinois. »
Dans le même ordre d’idées, le journal israélien Haaretz révélé qu’une société nationale de logiciels espions, Insanet, a développé un produit appelé Sherlock qui peut infecter des appareils via des publicités en ligne pour espionner des cibles et collecter des données sensibles à partir des systèmes Android, iOS et Windows.
Le système aurait été vendu à un pays qui n’est pas une démocratie, rapporte-t-il, ajoutant qu’un certain nombre de cyberentreprises israéliennes ont tenté de développer une technologie offensive qui exploite les publicités pour profiler les victimes (un terme appelé AdInt ou intelligence publicitaire) et distribuer des logiciels espions. .