da Hardware Upgrade :
Hook il nome di un nuovo malware per Android che viene
promosso come uno strumento capace di prendere il controllo dei
dispositivi mobile usando VNC – Virtual Network Computing – una specifica
implementazione di un’applicazione di condivisione dello schermo. Per
poter operare VNC di Hook richiede per l’accesso ai servizi di
accessibilit, che sulle versioni con Android 11 o successive pi
difficile da ottenere. In ogni caso il nuovo malware provvisto di una
rassegna di funzioni che lo rendono particolarmente insidioso.
Il modulo VNC di Hook permette ad esempio all’attore di minaccia che lo
controlla di interagire in tempo reale con l’interfaccia utente del
dispositivo compromesso. In questo modo diventa possibile compiere
qualsiasi azione sul dispositivo, esattamente come se lo si avesse tra le
mani.
Tra le funzionalit peculiari di Hook vi il comando “File Manager”, che
trasforma il malware appunto in un file manager e permette in questo modo
all’attore di minaccia di ricavare l’elenco di tutti i file presenti
sul dispositivo e di scaricare file specifici a scelta.
Un’altra funzione del malware permette di registrare tutti i messaggi
presenti all’interno di WhatsApp e da modo all’attore di minaccia di
inviare messaggi tramite l’account della vittima. C’ poi un sistema
di geolocalizzazione che permette di tracciare la posizione precisa del
dispositivo (e, quindi, del suo utilizzatore) sfruttando il permesso
“Access Fine Location”.
In ultima analisi Hook permette a chi lo usa di poter eseguire qualsiasi
tipo di azione sul dispositivo, dalle transazioni bancarie alla
sottrazione di informazioni personali, all’intercettazione di
comunicazioni e via dicendo.
Realizzato dalla stessa mano dietro ad Ermac,
trojan bancario venduto ad abbonamento di 5000 dollari al mese e che
permette la sottrazione delle credenziali da oltre 467 app bancarie
utilizzando la tecnica delle schermate in sovrapposizione, il nuovo
malware viene promosso come realizzato ex-novo anche se gli esperti di
sicurezza di ThreatFabric affermano di aver riscontrato parti di codice
con significative similitudini ed attinenze, se non del tutto uguali. Pur
conservando, quindi, una serie di funzionalit gi riscontrate in Ermac,
Hook ne propone alcune del tutto nuove come ad esempio la comunicazione
WebSocket.
Spiegano
i ricercatori ThreatFabric: “Con questa funzionalit, Hook entra
nella rassegna delle famiglie di malware in grado di eseguire un Device
Take-Over completo e portare a termine un’intera catena di frodi,
dall’esfiltrazione delle informazioni personali alle transazioni, con
tutti i passaggi intermedi, senza la necessit di canali aggiuntivi.
Questo tipo di operazione molto pi difficile da rilevare dai motori di
punteggio delle frodi ed il principale punto di forza dei trojan bancari
per Android”.
I ricercatori osservano che Hook una minaccia che riguarda gli utenti
di tutto il mondo, ma che in maniera particolare si rivolge agli utenti di
Australia, Canada, Francia, Italia, Polonia, Portogallo, Regno
Unito, Spagna, Stati Uniti e Turchia prendendo di mira nello specifico
le app degli istituti bancari locali.
Hook viene al momento distribuito tramite canali non ufficiali sotto
le mentite spoglie di un APK di Google Chrome, anche se i nomi dei
pacchetti “com.lojibiwawajinu.guna”, “com.damariwonomiwi.docebi”,
“com.damariwonomiwi.docebi” e “com.yecomevusaso.pisifo” dovrebbero destare
pi di un sospetto.