Hook : un nouveau cheval de Troie bancaire pour Android

Une nouvelle analyse du cheval de Troie bancaire Android connu sous le nom de Hook a révélé qu’il est basé sur son prédécesseur appelé ERMAC.

« Le code source d’ERMAC a servi de base à Hook », indiquent Joshua Kamp et Alberto Segura, chercheurs en sécurité du NCC Group, dans une analyse technique publiée la semaine dernière.

« Toutes les commandes (30 au total) que l’opérateur du logiciel malveillant peut envoyer à un appareil infecté par le logiciel malveillant ERMAC existent également dans Hook. L’implémentation du code pour ces commandes est presque identique. »

Hook a été documenté pour la première fois par ThreatFabric en janvier 2023, le décrivant comme un « ERMAC fork » qui est proposé à la vente pour 7 000 dollars par mois. Les deux souches sont l’œuvre d’un auteur de logiciels malveillants appelé DukeEugene.

Cela dit, Hook étend les fonctionnalités d’ERMAC en y ajoutant des capacités supplémentaires, prenant en charge pas moins de 38 commandes supplémentaires par rapport à ce dernier.
Les principales fonctionnalités d’ERMAC sont conçues pour envoyer des SMS, afficher une fenêtre de phishing au-dessus d’une application légitime, extraire une liste d’applications installées, collecter des SMS et siphonner des phrases de démarrage de récupération pour plusieurs portefeuilles de crypto-monnaies.
Hook, quant à lui, va plus loin en diffusant l’écran de la victime et en interagissant avec l’interface utilisateur pour prendre le contrôle complet d’un appareil infecté, en capturant des photos de la victime à l’aide de la caméra frontale, en récoltant des cookies liés aux sessions de connexion à Google et en pillant les graines de récupération de plusieurs portefeuilles de crypto-monnaies.

Il peut également envoyer un message SMS à plusieurs numéros de téléphone, propageant ainsi le logiciel malveillant à d’autres utilisateurs.
Indépendamment de ces différences, Hook et ERMAC peuvent tous deux enregistrer les frappes au clavier et abuser des services d’accessibilité d’Android pour mener des attaques par superposition afin d’afficher du contenu au-dessus d’autres applications et de voler les informations d’identification de plus de 700 applications. La liste des applications à cibler est récupérée à la volée par le biais d’une requête adressée à un serveur distant.
Les familles de logiciels malveillants sont également conçues pour surveiller les événements du presse-papiers et remplacer le contenu par un portefeuille contrôlé par l’attaquant si la victime copie une adresse de portefeuille légitime.

La majorité des serveurs de commande et de contrôle (C2) de Hook et d’ERMAC sont situés en Russie, suivie des Pays-Bas, du Royaume-Uni, des États-Unis, de l’Allemagne, de la France, de la Corée et du Japon.

Depuis le 19 avril 2023, il semble que le projet Hook ait été fermé, selon un message partagé par DukeEugene , qui a affirmé partir pour une « opération militaire spéciale » et que l’assistance pour le logiciel serait fournie par un autre acteur nommé RedDragon jusqu’à ce que l’abonnement des clients soit épuisé.

Par la suite, le 11 mai 2023, le code source de Hook aurait été vendu par RedDragon pour 70 000 $sur un forum underground. La courte durée de vie de Hook mise à part, le développement a soulevé la possibilité que d’autres acteurs de la menace reprennent le travail (et publient de nouvelles variantes).

Cette révélation intervient alors que (un acteur de menace lié à la Chine a été associé )(à une campagne de logiciels espions Android ciblant les utilisateurs )(en Corée du Sud depuis )(le début )(du mois de juillet 2023).

« Le logiciel malveillant est distribué par des sites de phishing trompeurs qui se font passer pour des sites pour adultes mais qui livrent en réalité des fichiers APK malveillants », a déclaré Cyble. « Une fois que le logiciel malveillant a infecté la machine de la victime, il peut voler un large éventail d’informations sensibles, y compris les contacts, les messages SMS, les journaux d’appels, les images, les fichiers audio, les enregistrements d’écran et les captures d’écran.

Il contient également une fonctionnalité permettant au malware de rediriger les appels entrants vers un numéro de téléphone mobile désigné, contrôlé par l’attaquant, d’intercepter les messages SMS et d’intégrer une fonctionnalité inachevée d’enregistrement de frappe, ce qui indique qu’il est probablement en cours de développement.</i

Les chercheurs de Kaspersky ont découvert une nouvelle campagne qui utilise des attaques par trou d’eau pour infecter les victimes avec des malwares. La campagne, qui est active depuis au moins mai 2019, utilise une porte dérobée personnalisée appelée « Taidoor » pour cibler des entités à Hong Kong.

Les chercheurs de Kaspersky ont découvert une nouvelle campagne qui utilise des attaques par trou d’eau pour infecter les victimes avec des logiciels malveillants.

Les chercheurs pensent que les attaquants sont parrainés par l’État et sont probablement liés au gouvernement chinois en raison de l’utilisation de Hong Kong dans les informations de l’enregistrement WHOIS pour le serveur C2, ainsi que de la présence de plusieurs chaînes de caractères en chinois, notamment « 中国共产党万岁 », dans le code source du logiciel malveillant, qui se traduit par « Vive le Parti communiste chinois ». »

Les chercheurs pensent que les attaquants sont parrainés par l’État et sont probablement liés au gouvernement chinois en raison de l’utilisation de Hong Kong dans les informations de l’enregistrement WHOIS pour le serveur C2.

Dans le même ordre d’idées, le journal israélien Haaretz a révélé qu’une société nationale de logiciels espions, Insanet, a mis au point un produit appelé Sherlock qui peut infecter des appareils via des publicités en ligne pour espionner des cibles et collecter des données sensibles à partir de systèmes Android, iOS et Windows.

Le système aurait été vendu à un pays qui n’est pas une démocratie, a rapporté le journal, ajoutant qu’un certain nombre de cyber-entreprises israéliennes ont tenté de développer une technologie offensive qui exploite les publicités pour profiler les victimes (un terme appelé AdInt ou intelligence publicitaire) et distribuer des logiciels espions.

La société Insanet a développé un produit appelé Sherlock qui peut infecter des appareils via des publicités en ligne pour espionner des cibles.