Il mondo della sicurezza informatica è in allerta a causa di un nuovo trojan bancario Android noto come “Hook”, che si basa sul suo predecessore, ERMAC. Secondo un’analisi condotta dai ricercatori di sicurezza della NCC Group, Joshua Kamp e Alberto Segura, il codice sorgente di ERMAC è stato utilizzato come base per sviluppare Hook, estendendo le sue funzionalità con ben 38 comandi aggiuntivi rispetto al predecessore.
Caratteristiche e funzionalità di Hook
Hook è stato documentato per la prima volta da ThreatFabric nel gennaio 2023 e viene venduto sul mercato nero a 7.000 dollari al mese. Entrambi i trojan, Hook e ERMAC, sono opera di un autore di malware noto come DukeEugene. Mentre le funzionalità principali di ERMAC includono l’invio di messaggi SMS, la visualizzazione di una finestra di phishing su un’app legittima e l’estrazione di una lista di applicazioni installate, Hook va oltre, permettendo di visualizzare in streaming lo schermo della vittima e interagire con l’interfaccia utente per ottenere il controllo completo del dispositivo infetto.
Ulteriori dettagli tecnici
Hook è in grado di catturare foto della vittima utilizzando la fotocamera frontale, raccogliere cookie relativi alle sessioni di login di Google e rubare frasi segrete di recupero da più portafogli di criptovalute. Può anche inviare un messaggio SMS a più numeri di telefono, propagando il malware ad altri utenti. Entrambi i trojan possono registrare i tasti premuti e abusare dei servizi di accessibilità di Android per condurre attacchi overlay, al fine di visualizzare contenuti sopra altre app e rubare le credenziali da oltre 700 app.
Sviluppi recenti e possibili future minacce
A partire dal 19 aprile 2023, sembra che il progetto Hook sia stato chiuso, come annunciato da DukeEugene in un post, in cui affermava di partire per una “operazione militare speciale”. Tuttavia, il codice sorgente di Hook è stato successivamente venduto da un altro attore chiamato RedDragon per 70.000 dollari in un forum sotterraneo, sollevando la possibilità che altri attori minacciosi possano riprendere il lavoro e rilasciare nuove varianti in futuro.
Misure di precauzione
In questo contesto, è fondamentale che gli utenti Android rimangano vigili e adottino misure di sicurezza appropriate per proteggere i loro dispositivi da queste minacce emergenti. È consigliabile evitare di scaricare app da fonti non affidabili e mantenere sempre aggiornati i sistemi operativi e le applicazioni.