Los usuarios de Android deben tener cuidado: surge un nuevo malware de gancho con capacidades RAT

El malware SOVA agrega una función de ransomware para cifrar dispositivos Android

 

El actor de amenazas detrás de los troyanos bancarios BlackRock y ERMAC Android ha desatado otro malware para alquilar llamado Hook que introduce nuevas capacidades para acceder a los archivos almacenados en los dispositivos y crear una sesión interactiva remota.

ThreatFabric, en un informe compartido, caracterizó a Hook como una novedosa bifurcación ERMAC que se anuncia a la venta por $ 7,000 por mes mientras presenta “todas las capacidades de su predecesor”.

“Además, también agrega a su arsenal capacidades de herramientas de acceso remoto (RAT), uniéndose a las filas de familias como Octo e Hydra, que son capaces de realizar una toma de control de dispositivos (DTO) completa, y completar una cadena completa de fraude, desde la exfiltración de PII hasta la transacción, con todos los pasos intermedios, sin la necesidad de canales adicionales “, dijo la firma holandesa de ciberseguridad.

La mayoría de las aplicaciones financieras objetivo del malware se encuentran en los Estados Unidos, España, Australia, Polonia, Canadá, Turquía, el Reino Unido, Francia, Italia y Portugal.

Hook es obra de un actor de amenazas conocido como DukeEugene y representa la última evolución de ERMAC, que se reveló por primera vez en septiembre de 2021 y se basa en otro troyano llamado Cerberus cuyo código fuente se filtró en 2020.

“ERMAC siempre ha estado detrás de Hydra y Octo en términos de capacidades y características”, dijo el investigador de ThreatFabric Dario Durando. “Esto también es conocido entre los actores de amenazas, que prefieren estas dos familias por encima de ERMAC”.

“La falta de algún tipo de capacidades RAT es un problema importante para un banquero moderno de Android, ya que no brinda la posibilidad de realizar Device Take Over (DTO), que es la metodología de fraude que tiene más probabilidades de tener éxito y no es detectada por los motores de puntuación de fraude o los analistas de fraude. Esto es probablemente lo que desencadenó el desarrollo de esta nueva variante de malware”.

Al igual que otro malware de Android de su tipo, el malware abusa de las API de servicios de accesibilidad de Android para realizar ataques de superposición y recopilar todo tipo de información confidencial, como contactos, registros de llamadas, pulsaciones de teclas, tokens de autenticación de dos factores (2FA) e incluso mensajes de WhatsApp.

También tiene una lista ampliada de aplicaciones dirigidas para incluir ABN AMRO y Barclays, mientras que las muestras maliciosas se hacen pasar por el navegador web Google Chrome para engañar a los usuarios desprevenidos para que descarguen el malware:

  • com.lojibiwawajinu.guna
  • com.damariwonomiwi.docebi
  • com.yecomevusaso.pisifo

Entre las otras características principales que se agregarán a Hook está la capacidad de ver e interactuar de forma remota con la pantalla del dispositivo infectado, obtener archivos, extraer frases semilla de billeteras criptográficas y rastrear la ubicación del teléfono, difuminando la línea entre el spyware y el malware bancario.

ThreatFabric dijo que los artefactos de Hook observados hasta ahora en una fase de prueba, pero señaló que podrían entregarse a través de campañas de phishing, canales de Telegram o en forma de aplicaciones cuentagotas de Google Play Store.

“El principal inconveniente de crear un nuevo malware suele ser ganar suficiente confianza por parte de otros actores, pero con el estatus de DukeEugene entre los delincuentes, es muy probable que esto no sea un problema para Hook”, dijo Durando.

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.