Uma nova análise do trojan bancário Android conhecido como Hook revelou que ele é baseado em seu predecessor chamado ERMAC.
"O código-fonte do ERMAC foi usado como base para o Hook", disseram os pesquisadores de segurança do NCC Group, Joshua Kamp e Alberto Segura, em uma análise técnica publicada na semana passada.
"Todos os comandos (30 no total) que o operador de malware pode enviar para um dispositivo infectado com o malware ERMAC, também existem no Hook.
A implementação do código para esses comandos é quase idêntica."
O Hook foi documentado pela primeira vez pela ThreatFabric em janeiro de 2023, descrevendo-o como um "fork ERMAC" que é oferecido para venda por $7.000 por mês.
Ambos os programas são o trabalho de um autor de malware chamado DukeEugene.
Dito isto, Hook expande as funcionalidades do ERMAC com mais capacidades, suportando até 38 comandos adicionais em comparação com este último.
As principais características do ERMAC são projetadas para enviar mensagens SMS, exibir uma janela de phishing por cima de um aplicativo legítimo, extrair uma lista de aplicativos instalados, reunir mensagens SMS e roubar frases de recuperação para várias carteiras de criptomoedas.
Por outro lado, Hook vai um passo além ao transmitir a tela da vítima e interagir com a interface do usuário para obter controle total sobre um dispositivo infectado, capturando fotos da vítima usando a câmera frontal, colhendo cookies relacionados a sessões de login do Google e pilhando sementes de recuperação de mais carteiras de criptomoedas.
Ele ainda pode enviar uma mensagem SMS para vários números de telefone, propagando efetivamente o malware para outros usuários.
Apesar destas diferenças, tanto Hook quanto ERMAC podem registrar teclas e abusar dos serviços de acessibilidade do Android para realizar ataques de sobreposição, a fim de exibir conteúdo sobre outros aplicativos e roubar credenciais de mais de 700 aplicativos.
A lista de aplicativos a serem atacados é recuperada sob demanda através de um pedido a um servidor remoto.
As famílias de malware também são projetadas para monitorar eventos de área de transferência e substituir o conteúdo por uma carteira controlada pelo invasor, caso a vítima copie um endereço de carteira legítimo.
A maioria dos servidores de comando e controle (C2) de Hook e ERMAC estão localizados na Rússia, seguidos por Países Baixos, Reino Unido, EUA, Alemanha, França, Coreia e Japão.
Em 19 de abril de 2023, parece que o projeto Hook foi encerrado, de acordo com uma postagem compartilhada por DukeEugene, que alegou estar saindo para uma "operação militar especial" e que o suporte ao software seria fornecido por outro ator chamado RedDragon até o fim da assinatura dos clientes.
Posteriormente, em 11 de maio de 2023, o código-fonte do Hook teria sido vendido por RedDragon por $70.000 em um fórum clandestino.
Apesar da curta vida do Hook, o desenvolvimento aumentou a possibilidade de que outros atores de ameaças poderiam retomar o trabalho e lançar novas variantes no futuro.
A divulgação ocorre quando um ator de ameaça de conexão chinesa foi vinculado a uma campanha de spyware Android visando usuários na Coreia do Sul desde o início de julho de 2023.
"O malware é distribuído através de sites de phishing enganosos que se passam por sites adultos, mas na verdade entregam o arquivo APK malicioso", disse Cyble.
"Uma vez que o malware infectou a máquina da vítima, ele pode roubar uma ampla gama de informações sensíveis, incluindo contatos, mensagens SMS, registros de chamadas, imagens, arquivos de áudio, gravações de tela e capturas de tela."
Identidade é o Novo Endpoint: Dominando a Segurança SaaS na Era ModernaMergulhe fundo no futuro da segurança SaaS com Maor Bin, CEO da Adaptive Shield.
Além disso, o malware (nome do pacote APK "com.example.middlerankapp") aproveita os serviços de acessibilidade para monitorar os aplicativos usados pelas vítimas e prevenir a desinstalação.
Ele também contém um recurso que permite ao malware redirecionar chamadas recebidas para um número de celular designado controlado pelo invasor, interceptar mensagens SMS e incorporar uma funcionalidade de keylogging inacabada, indicando que provavelmente está em desenvolvimento ativo.
As conexões com a China são provenientes de referências a Hong Kong nas informações de registro WHOIS para o servidor C2, bem como a presença de várias strings de linguagem chinesa, incluindo "中国共产党万岁", no código-fonte do malware, que se traduz como "Viva o Partido Comunista da China".
Em um desenvolvimento relacionado, o jornal israelense Haaretz revelou que uma empresa doméstica de spyware, Insanet, desenvolveu um produto chamado Sherlock que pode infectar dispositivos através de anúncios online para espionar alvos e coletar dados sensíveis de sistemas Android, iOS e Windows.
O sistema teria sido vendido para um país que não é uma democracia, informou, acrescentando que várias empresas de cibersegurança israelenses tentaram desenvolver tecnologia ofensiva que explora anúncios para perfilar vítimas (um termo chamado AdInt ou inteligência de anúncios) e distribuir spyware.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...