Este nuevo malware está dirigido a usuarios
Los atacantes detrás de los troyanos bancarios BlackRock y ERMAC están ofreciendo otro malware as-a-service, llamado Hook, el cual tiene capacidades adicionales a los troyanos mencionados con el fin de acceder a archivos guardados y crear una sesión interactiva remota.
Según ThreatFabric, el malware Hook afirma presentar todas las capacidades relacionadas con troyanos bancarios de su predecesor, junto con varias características adicionales. Viene con una función RAT, con la capacidad de completar la toma de control del dispositivo (Android). Admite todos los pasos de una cadena de fraude completa, desde la exfiltración de PII hasta la transacción con pasos intermedios.
De acuerdo a la información entregada por los medios especializados, Hook se vende al mes por 7.000 dólares.
Esta amenaza sería una de las más peligrosas para Android, pudiendo recopilar archivos e incluso los mensajes e información de WhatsApp.
Está desarrollado por el grupo de amenazas DukeEugene y muestra una evolución del troyano ERMAC, visto por primera vez en septiembre de 2021.
La mayoría de los malware financieros se centran en Europa, Norteamérica, Oceanía y expandiéndose rápidamente por Sudamérica, identificando una alta presencia en Brasil.
Capacidades del malware
Hook, abusa de las API de los servicios de accesibilidad de Android para realizar ataques de superposición y recopilar detalles confidenciales, como registros de llamadas, contactos, pulsaciones de teclas, mensajes de WhatsApp y tokens 2FA.
Viene con una lista ampliada de aplicaciones bancarias dirigidas, incluidas ABN-AMRO y Barclays, mientras que las muestras maliciosas pretenden ser navegadores web Google Chrome para engañar a los usuarios para que descarguen el malware.
Este malware permite a sus usuarios ver e interactuar con la pantalla de forma remota, obtener archivos, extraer frases iniciales de las billeteras criptográficas y rastrear la ubicación, lo que lo convierte en una combinación de spyware y malware bancario.
Hasta ahora, se cree que Hook está en fase de prueba. Sin embargo, podría propagarse mediante campañas de phishing, en forma de aplicaciones cuentagotas de Google Play Store o canales de Telegram.