Dispositivos Android están siendo víctimas de un nuevo malware, ‘Hook’, que puede controlar de forma remota smartphones y tablets en tiempo real utilizando el programa VNC (Virtual Network Computing).
El nuevo malware Hook está promovido por el creador de Ermac, un troyano bancario para Android que ayuda a los ciberdelincuentes a robar credenciales de más de 467 aplicaciones bancarias y criptográficas a través de páginas de inicio de sesión superpuestas.
Si bien el autor de Hook afirma que el nuevo malware está escrito desde cero, investigadores de ThreatFabric lo cuestionan ya que tiene varias características adicionales en comparación con Ermac. Además, han visto una gran superposición de código entre las dos familias.
Según estos expertos, Hook contiene la mayor parte del código base de Ermac, por lo que sigue siendo un troyano bancario. Al mismo tiempo, incluye varias partes innecesarias que se encuentran en la cepa anterior que indican que se reutilizó el código.
Lo que sí parece estar claro es que Hook es una evolución de Ermac y ofrece un amplio conjunto de capacidades que lo convierten en una amenaza aún más peligrosa para los usuarios de Android.
Una nueva característica de Hook en comparación con Ermac es la introducción de la comunicación WebSocket que se suma al tráfico HTTP utilizado exclusivamente por Ermac. El tráfico de la red todavía está encriptado con una clave codificada AES-256-CBC.
Cómo funciona Hook
Sin embargo, Hook incorpora el módulo VNC, el programa de software libre que permite ver las acciones del ordenador o servidor de forma remota. De esta forma, los ciberdelincuentes pueden interactuar con la interfaz de usuario del dispositivo comprometido en tiempo real.
Además, este nuevo sistema permite a los operadores de Hook realizar cualquier acción en el dispositivo, incluido transacciones económicas.
Para los expertos, esta característica hace que Hook se una a las familias de malware que pueden realizar una cadena de fraude completa, sin la necesidad de canales adicionales. Según apuntan, este tipo de operación es mucho más difícil de detectar por los motores de detección de fraudes.
El problema es que el VNC de Hook requiere acceso al Servicio de Accesibilidad para funcionar, lo que puede ser difícil de obtener en dispositivos con Android 11 o posteriores.
Los nuevos comandos de Hook (además de los de Ermac) pueden realizar acciones como tomar una captura de pantalla, desbloquear el dispositivo, desplazarse hacia arriba y hacia abajo, o simular clic en una coordenada específica, entre otras.
Además, un comando «Administrador de archivos» convierte el malware en un administrador de archivos, lo que permite a los atacantes obtener una lista de todos los archivos almacenados en el dispositivo y descargar los que elija.
Junto a esto, un nuevo sistema de rastreo de geolocalización permite a los operadores de Hook rastrear la posición precisa de la víctima al abusar del permiso «Acceder a ubicación precisa».
ThreatFabric también ha detectado un comando que permite a Hook registrar todos los mensajes de WhatsApp, e incluso permite que los operadores envíen mensajes a través de la cuenta de la víctima.
Alcance mundial
Las aplicaciones bancarias objetivo de Hook afectan a los usuarios de España, Australia, Canadá, Estados Unidos, Francia, Italia, Polonia, Portugal, Reino Unido, y Turquía.
Sin embargo, los expertos señalan que es importante tener en cuenta que el amplio alcance de Hook cubre todo el mundo.
En este momento, Hook se distribuye como un APK de Google Chrome con los nombres de paquete «com.lojibiwawajinu.guna», «com.damariwonomiwi.docebi», «com.damariwonomiwi.docebi» y «com.yecomevusaso.pisifo», pero podría cambiar en cualquier momento.
Para evitar infectarse con malware de Android, recomiendan instalar aplicaciones solo de la Google Play Store o las proporcionadas por fuentes oficiales.