En un mot: Les chercheurs en sécurité de ThreatFabric ont découvert un malware d’application bancaire Android appelé « Hook ». Le programme permet aux pirates de prendre le contrôle du téléphone d’une cible à distance. Les acteurs malveillants peuvent l’utiliser pour voler des données, exfiltrer des informations personnellement identifiables (PII), effectuer des transactions financières, etc.
Un acteur de la menace (TA), du nom de DukeEugene, vend le malware sur le dark web et prétend avoir écrit le code « à partir de zéro ». Cependant, le code de TreatFabric une analyse montre qu’il s’agit d’une fourchette de Ermac, l’une des familles de logiciels malveillants les plus détectées dans la nature. Alors que la majeure partie du code provient du cheval de Troie bancaire bien connu, le reste est constitué de fragments d’autres programmes, ce qui montre qu’il n’y a pas d’honneur parmi les voleurs.
Malgré les fausses déclarations d’auteur de DukeEugene (bien que le TA ait écrit le code Ermac original), Hook apporte de nombreuses nouvelles fonctionnalités à la famille des logiciels malveillants. Il inclut la communication WebSocket et crypte son trafic à l’aide d’une clé codée en dur AES-256-CBC.
Ce qui distingue Hook d’Ermac, c’est sa capacité à utiliser l’informatique en réseau virtuel (VNC) pour détourner un téléphone Android. Le logiciel peut envoyer des gestes de balayage virtuels, faire défiler, prendre des captures d’écran et simuler des pressions sur les touches, y compris une pression longue.
« Avec cette fonctionnalité, Hook rejoint les rangs des familles de logiciels malveillants capables d’effectuer un DTO complet [device take-over] et compléter une chaîne de fraude complète, de l’exfiltration de PII à la transaction, avec toutes les étapes intermédiaires, sans avoir besoin de canaux supplémentaires », a déclaré ThreatFabric. « Ce type d’opération est beaucoup plus difficile à détecter par les moteurs de notation de la fraude et constitue le principal argument de vente. pour les banquiers Android. »
Les chercheurs disent que Hook agit également en tant que gestionnaire de fichiers. Les pirates peuvent l’utiliser pour afficher tous les fichiers sur le téléphone ou télécharger ceux qu’ils jugent utiles. Il peut également afficher ou télécharger des images sur le téléphone. Hook n’a même pas besoin d’utiliser des commandes shell pour effectuer l’exfiltration de fichiers. Au lieu de cela, il utilise les API Android existantes pour voler les fichiers. Cette capacité, associée à son accès aux informations de suivi GPS en temps réel, en fait une suite de chevaux de Troie bancaires/logiciels espions à double fonction.
Les victimes du logiciel malveillant (applications bancaires) sont répandues et étendues, les États-Unis, l’Australie, le Canada, le Royaume-Uni et la France étant tous signalés dans le top 10 des cibles. Cependant, ThreatFabric indique que la liste des pays en dehors du top dix est large, ces régions n’étant que légèrement inférieures à la dixième place. Les chercheurs ont publié une liste complète des applications ciblées et les noms de packages associés à Hook à la fin de leur article de blog. L’article contient également tous les écrous et boulons techniques pour les personnes intéressées.
En ce qui concerne l’atténuation, pratiquez toujours une hygiène de sécurité sûre. Évitez de télécharger des logiciels en dehors du Google Play Store ou d’autres sources fiables. De plus, Hook demande des autorisations d’accessibilité pour obtenir des privilèges d’administrateur, alors méfiez-vous des applications demandant ce type d’accès.
Crédit image : Tissu de menace
