Il trojan bancario Hook, attivo in ambiente Android, si sta rapidamente diffondendo online. Dalle analisi dei ricercatori di sicurezza del gruppo NCC Joshua Kamp e Alberto Segura, pubblicata nella scorsa settimana, risulta come questo agente malevolo sia basato su un precedente malware noto come ERMAC.
Gli esperti hanno infatti spiegato come “Il codice sorgente ERMAC è stato utilizzato come base per Hook“, puntualizzando poi come “Tutti i comandi (30 in totale) che l’operatore del malware può inviare a un dispositivo infetto da malware ERMAC, esistono anche in Hook. L’implementazione del codice per questi comandi è quasi identica“.
Il malware derivato da ERMAC è stato individuato e documentato per la prima volta da ThreatFabric nel gennaio 2023. Già all’epoca, i ricercatori avevano notato diverse somiglianze con il suo predecessore. A sua volta, ERMAC deriva da un altro agente malevolo, noto come DukeEugene.
Hook raccoglie l’eredità di ERMAC e ne affina le capacità
Hook va ben oltre quanto propone il suo “genitore”, presentando ben 38 comandi aggiuntivi che ne espandono le funzionalità.
Le funzionalità principali di ERMAC sono focalizzate sull’invio messaggi SMS, proporre alla vittima una finestra di phishing sopra un’app legittima, estrarre un elenco di applicazioni installate, raccogliere messaggi SMS e ottenere l’accesso a wallet di criptovaluta.
Il nuovo malware, invece, è in grado di svolgere operazioni più complesse come:
- trasmettere in streaming ciò che avviene sul display della vittima;
- interagire con l’interfaccia utente per ottenere il controllo completo del dispositivo;
- scattare foto all’insaputa della vittima, utilizzando la fotocamera frontale;
- raccogliere cookie del browser;
- rubare i seed phrase da più wallet crittografici;
- inviare un messaggio SMS a più numeri di telefono (utile per propagare efficacemente il malware attraverso la rubrica della vittima).
Entrambi i malware, poi, possono registrare le sequenze di tasti e abusare dei servizi di accessibilità di Android per condurre attacchi overlay al fine di visualizzare contenuti sopra altre app e rubare credenziali da oltre 700 app.
Così come per tanti altri agenti malevoli simili, anche in questo caso è importante lavorare per prevenire attraverso un alto livello di informazione, un buon grado di prudenza e l’adozione di un antivirus Android degno di tale nome.