Actualidad

Ciberdelincuentes venden malware Android ‘gancho’ para el control remoto de teléfonos inteligentes

Estás leyendo la publicación: Ciberdelincuentes venden malware Android ‘gancho’ para el control remoto de teléfonos inteligentes

En un informe de AmenazaTejidoLos ciberdelincuentes están vendiendo un malware para Android llamado ‘Hook’ que se jactan de que puede tomar el control remoto de teléfonos inteligentes en tiempo real utilizando Virtual Network Computing (VNC).

Para aquellos que no lo saben, Virtual Network Computing es un sistema multiplataforma para compartir pantalla para controlar otra computadora de forma remota.

Continuando, se dice que el malware es promovido por los creadores de Ermac; También es un malware para Android que se vende a 5.000 dólares al mes a los atacantes, lo que a su vez les ayuda a robar información de aplicaciones bancarias y criptográficas utilizando páginas de inicio de sesión superpuestas.

El malware se distribuye como un APK de Google Chrome a través de estos nombres de paquete “”, “” y “”.

Dicho esto, el creador del malware afirma que el nuevo código de malware ‘Hook’ se escribió desde cero, aunque según la empresa de seguridad, se han encontrado códigos sustanciales de los dos malware de Android que se superponen entre sí con códigos ‘Hook’. tener características adicionales sobre el primero.

Además, la empresa de seguridad menciona que el malware todavía contiene la mayor parte del código Ermac, por lo que sigue siendo malware bancario, aunque todavía se encuentran algunas partes inútiles en la versión anterior, lo que demuestra que el código se reutiliza en masa. .

En ese sentido, ‘Hook’, el malware para Android, es una versión evolucionada de Ermac y tiene amplias características que lo convierten en una amenaza muy peligrosa para los usuarios de Android.

🔥 Recomendado:  Las mujeres son las principales usuarias del metaverso, pero están excluidas de los roles de liderazgo de la industria.

Una de las características que tiene el ‘Hook’ sobre Ermac es la comunicación WebSocket que se suma al tráfico HTTP ampliamente utilizado por Ermac. La red utilizada todavía está cifrada mediante una clave codificada AES-256-CBC.

Aunque eso no es todo, la característica principal del malware es el VNC que permite a los atacantes comunicarse con la interfaz del teléfono inteligente infectado en tiempo real. Esto permite que el malware realice cualquier cosa en el dispositivo comprometido, desde información de identificación personal (PII) hasta transacciones monetarias.

Creador de ganchos que promueve el sistema informático de red virtual Creador de ganchos que promueve el sistema informático de red virtual

Bueno, el malware de Android se encuentra en la lista de malware que es capaz de realizar un objeto de transferencia de datos completo (FDT) y ejecutar una cadena completa de fraude desde la exfiltración de PII hasta transacciones con todos los pasos intermedios y sin necesidad de canales adicionales, dijo Tela de amenaza.

Esto hace que el ataque sea difícil de detectar mecanismos de puntuación de fraude y estos son nuevos comandos que el malware puede ejecutar además de aquellos que son similares a Ermac.

  • Iniciar/Detener RAT.
  • Ejecute un gesto de deslizamiento específico.
  • Tomar una captura de pantalla.
  • Estimule un clic en un elemento de texto específico.
  • Estimule la pulsación de una tecla como (Inicio/Atrás/Reciente/Bloquear/Powerdialog.
  • Desbloquea el dispositivo.
  • Desplácese hacia arriba y hacia abajo.
  • Estimular una pulsación larga.
  • Estimular el clic en una coordenada específica.
  • Establezca el valor del portapapeles en un elemento de la interfaz de usuario con un valor de coordenadas específico.
  • Estimule el valor del clic en un elemento de la interfaz de usuario con un valor de texto específico.
  • Establezca un elemento de la interfaz de usuario para un texto específico.
🔥 Recomendado:  ChatGPT para comercio e inversores: 6 mejores prácticas y amp; Limitaciones del uso de AI Chatbot

Aparte de estos comandos, un comando del Administrador de archivos convierte el malware en un administrador de archivos y los atacantes obtienen el registro de todos los archivos almacenados en el administrador de archivos y descargan el archivo de su agrado.

Bueno, espera, hay más; Otro comando que encontró la firma de seguridad está relacionado con Whatsapp, que permite al malware registrar todos los mensajes en Whatsapp e incluso permite a los atacantes enviar mensajes desde la cuenta de la víctima.

Por último, pero no menos importante, un mecanismo de seguimiento de geolocalización ayuda al malware a obtener la ubicación de la víctima aprovechando el permiso ‘Acceder a la ubicación precisa’.

Seguimiento preciso de la ubicación por parte del malware de la víctimaSeguimiento preciso de la ubicación por parte del malware de la víctimaSeguimiento preciso de la ubicación por parte del malware de la víctima

Estos son los países en los que Hook se dirigió a los usuarios de aplicaciones bancarias: España, Australia, Polonia, Canadá, Reino Unido, Francia, Italia, Turquía, Portugal y Estados Unidos. Aunque una cosa importante a tener en cuenta aquí es que el ‘Hook’ apunta a todo el mundo.

Aplicaciones bancarias por país objetivo del malware de AndroidAplicaciones bancarias por país objetivo del malware de AndroidAplicaciones bancarias por país objetivo del malware de Android

Además, ThreatFabric ha enumerado todas las aplicaciones que objetivos Para aquellos que estén interesados.

Leer: Los piratas informáticos violan los sistemas de CircleCi a través del SSO infectado respaldado por 2FA de un ingeniero

Otros temas interesantes: