Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

Da Ermac ad Hook: una alternativa agli spyware di stato la offre il cybercrime

Redazione RHC : 23 Gennaio 2023 07:26

I ricercatori di ThreatFabric hanno scoperto un nuovo “fork” del trojan bancario Ermac per Android, molto diffuso tra i criminali informatici negli ultimi anni. Gli esperti scrivono che il nuovo malware, soprannominato Hook, ha funzionalità di spyware.

Il nuovo malware è promosso dal creatore di Ermac, è un trojan bancario che è possibile acquistare in abbonamento a 5.000 dollari al mese per Android e aiuta gli aggressori a rubare credenziali da oltre 467 app bancarie e di criptovaluta.

Pubblicità di Ermac

Da trojan bancario a spyware il passo è breve

Sebbene l’autore di Hook, nascondendosi sotto il soprannome DukeEugene, affermi che il malware è stato scritto da zero, si distingue da Ermac per una serie di funzioni spyware aggiuntive. I ricercatori di ThreatFabric riferiscono che il codice del malware ha diverse parti riutilizzate. 


Distribuisci i nostri corsi di formazione diventando un nostro Affiliato

Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Pertanto, Hook contiene la maggior parte del codice Ermac, anche se ha diverse aggiunte che lo fanno assomigliare ad uno spyware evoluto piuttosto che ad un trojan bancario. 

Gancio pubblicitario

Comunque sia, Hook rappresenta una versione più avanzata di Ermac e offre una vasta gamma di funzionalità che lo rendono una pericolosa minaccia per gli utenti Android. Il malware viene offerto per 7.000 dollari al mese e l’autore afferma che Hook ha “tutte le capacità del suo predecessore”.

Le nuove funzionalità aggiunte

Una delle nuove funzionalità di Hook sono le comunicazioni WebSocket, che si aggiungono al normale traffico HTTP utilizzato da Ermac. Tuttavia, il traffico di rete è ancora crittografato utilizzando una chiave AES-256-CBC hardcoded.

Un’altra aggiunta importante è stata il modulo VNC (virtual network computing), che offre agli aggressori la possibilità di interagire con un dispositivo violato in tempo reale. 

Ciò consente infatti agli operatori di Hook di compiere qualsiasi azione sul dispositivo della vittima.

“Hook ha aggiunto funzionalità RAT al suo arsenale unendosi a famiglie di malware come Octo e Hydra, che sono in grado di eseguire una compromissione completa del dispositivo con tutte le fasi intermedie e senza la necessità di canali aggiuntivi: dal furto dell’identità fino ad eseguire transazioni bancarie”, scrivono i ricercatori.

Nuovi comandi messi a disposizione nel nuovo codice

Tra i nuovi comandi disponibili per Hook, che non sono presenti in Ermac, troviamo:

  • avviare/arrestare il RAT;
  • eseguire uno specifico gesto di scorrimento;
  • fare uno screenshot;
  • simulare un clic su uno specifico elemento di testo;
  • simulare la pressione dei pulsanti (HOME/BACK/RECENTS/LOCK/POWERDIALOG);
  • sbloccare il dispositivo;
  • scorrere su/giù;
  • simulare una lunga pressione;
  • simulare un clic su una determinata coordinata;
  • simulare un clic su un elemento dell’interfaccia utente con un valore di testo specifico;
  • impostare il valore di un elemento dell’interfaccia utente su un testo specifico.

Oltre a quanto sopra, il comando “File Manager” trasforma il malware in un file manager, consentendo agli aggressori di ottenere un elenco di tutti i file sul dispositivo e rubare determinati file di loro scelta.

Un altro comando interessante riguarda il messenger di WhatsApp e consente a Hook di registrare tutti i messaggi, mentre gli operatori di malware hanno la possibilità di inviare messaggi attraverso l’account della vittima.

Geolocalizzazione e utilizzo nel mondo

Infine, Hook è dotato di un nuovo sistema di tracciamento della geolocalizzazione, che consente di tracciare l’esatta posizione della vittima abusando del permesso “Access Fine Location”.

In termini di funzionalità bancarie, la distribuzione di Hook è negli Stati Uniti, Spagna, Australia, Polonia, Canada, Turchia, Regno Unito, Francia, Italia e Portogallo. Tuttavia, gli “interessi” di Hook coprono tutto il mondo e nel loro rapporto i ricercatori hanno elencato separatamente tutte le applicazioni mirate del malware.

Hook è attualmente distribuito come APK di Google Chrome e utilizza i seguenti nomi di pacchetto: com.lojibiwawajinu.guna, com.damariwonomiwi.docebi, com.damariwonomiwi.docebi e com.yecomevusaso.pisifo, sebbene questi possano cambiare in qualsiasi momento.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Gli Exploit per Citrix Bleed2 sono online! Aggiornare immediatamente, la caccia è iniziata

Il CERT-AgID recentemente aveva avvertito che molte istanze pubbliche non sono ancora state aggiornate e tra queste 70 sono relative a banche, assicurazioni e pubbliche amministrazioni italiane. Ora l...

La suite Shellter Elite utilizzata dai Red Team per il bypass degli EDR, ora viene usata dal cybercrime

Shellter Project, produttore di un downloader commerciale per bypassare i sistemi antivirus ed EDR, ha segnalato che gli hacker stanno utilizzando il suo prodotto Shellter Elite per gli attacchi. Ques...

Il Cyberpandino è pronto per il Mongol Rally 2025: RHC tifa per voi ragazzi! A tutto GAS digitale!

Il progetto Cyberpandino non è solo un’idea folle, ma una grande avventura su quattro ruote progettata e realizzata da due menti brillanti romane – Matteo Errera e Roberto Zaccardi ...

Arriva 123 Stealer! 120 dollari al mese in abbonamento, per rubare qualsiasi dato riservato

Un nuovo infostealer emerge dalle underground criminali e il suo nome è “123 | Stealer”. L’autore di questo software è un hacker che si nasconde sotto lo pseudonimo di k...

Ha 13 anni e ha hackerato Microsoft Teams! La storia di Dylan, uno tra i più giovani bug hunter

A soli 13 anni, Dylan è diventato il più giovane ricercatore di sicurezza a collaborare con il Microsoft Security Response Center (MSRC), dimostrando come la curiosità e la perseveranza...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006