O Android está enfrentando um novo malware, chamado Hook. Ele está sendo vendido por cibercriminosos, ostentando que pode controlar remotamente dispositivos móveis em tempo real usando VNC.
Novo malware Android chamado Hook sendo vendido
Esse novo malware está sendo promovido pelo criador do Ermac, um trojan bancário Android vendido por US$ 5.000/mês (cerca de R$ 26.000,00). Ele ajuda os agentes de ameaças a roubar credenciais de mais de 467 aplicativos bancários e criptográficos por meio de páginas de login sobrepostas.
O Bleeping Computer aponta que, embora o autor de Hook afirme que o novo malware foi escrito do zero e, apesar de ter vários recursos adicionais em comparação com o Ermac, os pesquisadores da ThreatFabric contestam essas afirmações e relatam ter visto extensas sobreposições de código entre as duas famílias.
Hook e Ermac
O ThreatFabric explica que o Hook contém a maior parte da base de código do Ermac, portanto ainda é um trojan bancário. Ao mesmo tempo, inclui várias partes desnecessárias encontradas na linhagem mais antiga que indicam o código reutilizado em massa.
No entanto, esse é um malware Android mais perigoso. Apesar de sua origem, o Hook é uma evolução do Ermac, oferecendo um amplo conjunto de recursos que o tornam uma ameaça mais perigosa para os usuários do Android.
Ele conta com a introdução da comunicação WebSocket que vem além do tráfego HTTP usado exclusivamente pelo Ermac. O tráfego de rede ainda é criptografado usando uma chave codificada AES-256-CBC. A adição de destaque, no entanto, é o módulo VNC que dá aos agentes de ameaças a capacidade de interagir com a interface do usuário do dispositivo comprometido em tempo real.
Esse novo sistema permite que os operadores do Hook executem qualquer ação no dispositivo, desde a exfiltração de PII até transações monetárias.
O VNC do Hook requer acesso ao serviço de acessibilidade para funcionar, o que pode ser difícil de obter em dispositivos com Android 11 ou posterior.
Segmentação mundial
Os aplicativos bancários de destino de Hook impactam usuários nos Estados Unidos, Espanha, Austrália, Polônia, Canadá, Turquia, Reino Unido, França, Itália e Portugal. No entanto, é essencial observar que o amplo escopo de segmentação de Hook abrange o mundo inteiro. O ThreatFabric listou todos os aplicativos que o Hook tem como alvo no apêndice do relatório para os interessados.
No momento, o Hook é distribuído como um APK do Google Chrome sob os nomes de pacote “com.lojibiwawajinu.guna”, “com.damariwonomiwi.docebi”, “com.damariwonomiwi.docebi” e “com.yecomevusaso.pisifo”, mas claro, isso pode mudar a qualquer momento.
Para evitar ser infectado por malware do Android, você só deve instalar aplicativos da apenas de fontes confiáveis, como as lojas oficiais.