L’acteur de la menace derrière les chevaux de Troie bancaires Android BlackRock et ERMAC a déclenché un autre malware à louer appelé Crochet qui introduit de nouvelles fonctionnalités pour accéder aux fichiers stockés dans les appareils et créer une session interactive à distance.
ThreatFabric, dans un rapport partagé avec The Hacker News, a caractérisé Hook comme une nouvelle fourche ERMAC qui est annoncée à la vente pour 7 000 $ par mois tout en présentant « toutes les capacités de son prédécesseur ».
« En outre, il ajoute également à son arsenal des capacités d’outils d’accès à distance (RAT), rejoignant les rangs de familles telles que Octo et Hydra, qui sont capables d’effectuer une prise de contrôle complète de l’appareil (DTO) et de compléter une chaîne de fraude complète, de Exfiltration de PII à la transaction, avec toutes les étapes intermédiaires, sans avoir besoin de canaux supplémentaires », a déclaré la société néerlandaise de cybersécurité.
La majorité des applications financières ciblées par le logiciel malveillant se trouvent aux États-Unis, en Espagne, en Australie, en Pologne, au Canada, en Turquie, au Royaume-Uni, en France, en Italie et au Portugal.
Hook est l’œuvre d’un acteur malveillant connu sous le nom de DukeEugene et représente la dernière évolution d’ERMAC, qui a été divulguée pour la première fois en septembre 2021 et est basée sur un autre cheval de Troie nommé Cerberus dont le code source a été divulgué en 2020.
« Ermac a toujours été derrière Hydra et Octo en termes de capacités et de fonctionnalités », a déclaré Dario Durando, chercheur à ThreatFabric, à The Hacker News par e-mail. « Cela est également connu des acteurs de la menace, qui préfèrent ces deux familles à Ermac. »
« Le manque d’une sorte de capacités RAT est un problème majeur pour un banquier Android moderne, car il n’offre pas la possibilité d’effectuer une prise de contrôle de périphérique (DTO), qui est la méthodologie de fraude la plus susceptible de réussir et non détectée par des moteurs de notation de fraude ou des analystes de fraude. C’est probablement ce qui a déclenché le développement de cette nouvelle variante de logiciel malveillant. »
Comme d’autres logiciels malveillants Android de son acabit, le logiciel malveillant abuse des API des services d’accessibilité d’Android pour mener des attaques par superposition et récolter toutes sortes d’informations sensibles telles que les contacts, les journaux d’appels, les frappes au clavier, les jetons d’authentification à deux facteurs (2FA) et même les messages WhatsApp.
Il arbore également une liste étendue d’applications pour inclure ABN AMRO et Barclays, tandis que les échantillons malveillants eux-mêmes se font passer pour le navigateur Web Google Chrome pour inciter les utilisateurs sans méfiance à télécharger le logiciel malveillant :
- com.lojibiwawajinu.guna
- com.damariwonomiwi.docebi
- com.yecomevusaso.pisifo
Parmi les autres fonctionnalités majeures à ajouter à Hook, citons la possibilité de visualiser et d’interagir à distance avec l’écran de l’appareil infecté, d’obtenir des fichiers, d’extraire des phrases de départ de portefeuilles cryptographiques et de suivre l’emplacement du téléphone, brouillant la frontière entre les logiciels espions et les logiciels malveillants bancaires. .
ThreatFabric a déclaré que les artefacts Hook observés jusqu’à présent dans une phase de test, mais ont noté qu’ils pourraient être livrés via des campagnes de phishing, des canaux Telegram ou sous la forme d’applications de compte-gouttes Google Play Store.
« Le principal inconvénient de la création d’un nouveau logiciel malveillant est généralement de gagner suffisamment la confiance des autres acteurs, mais avec le statut de DukeEugene parmi les criminels, il est très probable que ce ne sera pas un problème pour Hook », a déclaré Durando.