Hook: malware Android con accesso VNC

Hook: malware Android con accesso VNC

Hook è una variante di Ermac con alcune funzionalità aggiuntive, come l'accesso remoto tramite VNC e il tracciamento della posizione geografica.
Hook è una variante di Ermac con alcune funzionalità aggiuntive, come l'accesso remoto tramite VNC e il tracciamento della posizione geografica.

I ricercatori di ThreatFabric hanno scoperto un nuovo malware per Android. Hook è un trojan bancario che condivide parte del codice con Ermac. L’autore ha aggiunto alcune funzionalità, tra cui quella di RAT (Remote Access Trojan) che permette di prendere il controllo del dispositivo tramite VNC. Come sempre, il consiglio è installare una soluzione di sicurezza che rileva queste minacce.

Hook: trojan bancario e RAT

Ermac è stato offerto in abbonamento (5.000 dollari/mese) su diversi forum del dak web. Utilizzando il codice sorgente sono stati creati altri malware simili, uno dei quali è Hook. I ricercatori di ThreatFabric hanno scoperto che Hook viene sviluppato e aggiornato dallo stesso autore di Ermac (DukeEugene).

Hook usa lo stesso meccanismo di crittografia (AES-256-CBC) per la comunicazione con il server C2C (command and control), ma al traffico HTTP è stata aggiunta anche la comunicazione WebSocket. Il nuovo malware offre inoltre funzionalità RAT attraverso VNC. Abusando dei servizi di accessibilità, i cybercriminali possono accedere al dispositivo da remoto e interagire con l’interfaccia di Android.

Hook consente quindi di simulare tap, swipe e scrolling, scattare screenshot, sbloccare il dispositivo, scaricare file e immagini, rubare le “seed phrases” dei wallet di criptovalute. Il malware offre anche due funzionalità di spyware, ovvero l’accesso ai messaggi di WhatsApp e il tracciamento della posizione geografica. Le vittime si trovano principalmente negli Stati Uniti, ma sono in diversi paesi, Italia inclusa.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: ThreatFabric
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 20 gen 2023
Link copiato negli appunti