Dunia maya sedang gempar dengan beredarnya malware Android yang disebut Hook. Karena kemampuannya aplikasi jahat ini disebut juga sebagai malware pembajak ponsel Hook.
Pengembang malware Hook menawarkannya secara bebas teknologi besutannya yang dikatakan mampu mengambil alih ponsel dari jarak jauh secara real time menggunakan VNC (Virtual Network Computing)
Trojan Perbankan
Malware baru ini adalah sebuah trojan perbankan Android yang dijual seharga $5.000/bulan yang membantu pelaku kejahatan mencuri kredensial dari lebih dari 467 aplikasi perbankan dan crypto melalui halaman login overlay.
Sementara pengembang Hook mengklaim malware baru ditulis dari awal, dan meskipun memiliki beberapa fitur tambahan dibandingkan dengan Ermac.
Peneliti di ThreatFabric membantah klaim ini dan melaporkan melihat tumpang tindih kode yang luas antara kedua malware.
ThreatFabric menjelaskan bahwa Hook berisi sebagian besar basis kode Ermac, jadi masih berupa trojan perbankan.
Pada saat yang sama, itu mencakup beberapa bagian yang tidak perlu yang ditemukan di strain lama yang mengindikasikannya menggunakan kembali kode secara massal.
Evolusi Ernac
Terlepas dari asalnya, Hook adalah evolusi dari Ermac, menawarkan serangkaian kemampuan ekstensif yang membuatnya menjadi ancaman yang lebih berbahaya bagi pengguna Android.
Salah satu fitur baru Hook dibandingkan dengan Ermac adalah pengenalan komunikasi WebSocket yang hadir sebagai tambahan lalu lintas HTTP yang digunakan secara eksklusif oleh Ermac. Lalu lintas jaringan masih dienkripsi menggunakan kunci hardcode AES-256-CBC.
Tambahan utama, bagaimanapun, adalah modul ‘VNC’ yang memberi pelaku ancaman kemampuan untuk berinteraksi dengan antarmuka pengguna dari perangkat yang disusupi secara real-time.
Sistem baru ini memungkinkan operator Hook untuk melakukan tindakan apa pun pada perangkat, mulai dari eksfiltrasi PII hingga transaksi moneter.
Perintah Baru Hook
Dengan fitur ini, Hook bergabung dengan jajaran keluarga malware yang mampu melakukan DTO penuh, dan menyelesaikan rantai penipuan penuh, mulai dari eksfiltrasi PII hingga transaksi, dengan semua langkah perantara, tanpa memerlukan saluran tambahan.
Operasi semacam ini jauh lebih sulit dideteksi oleh mesin penilaian penipuan, dan merupakan nilai jual utama bagi para bankir Android.
Tangkapannya adalah bahwa VNC Hook membutuhkan akses Layanan Aksesibilitas untuk berfungsi, yang mungkin sulit didapat pada perangkat yang menjalankan Android 11 atau lebih baru.
Perintah baru Hook (selain Ermac) dapat melakukan tindakan berikut:
-
Mulai/hentikan RAT
-
Lakukan gerakan menggeser tertentu
-
Ambil tangkapan layar
-
Simulasikan klik pada item teks tertentu
-
Simulasikan penekanan tombol (HOME/BACK/RECENTS/LOCK/POWERDIALOG)
-
Buka kunci perangkat
-
Gulir ke atas/bawah
-
Simulasikan tindakan tekanan lama
-
Simulasikan klik pada koordinat tertentu
-
Setel nilai clipboard ke elemen UI dengan nilai koordinat tertentu
-
Simulasikan klik pada elemen UI dengan nilai teks tertentu
-
Tetapkan nilai elemen UI ke teks tertentu
Terlepas dari hal di atas, perintah “Manajer File” mengubah malware menjadi pengelola file, memungkinkan pelaku ancaman untuk mendapatkan daftar semua file yang disimpan di perangkat dan mengunduh file tertentu pilihan mereka.
Perintah penting lainnya yang ditemukan ThreatFabric berkaitan dengan WhatsApp, memungkinkan Hook untuk mencatat semua pesan di aplikasi IM populer dan bahkan mengizinkan operator untuk mengirim pesan melalui akun korban.
Terakhir, sistem pelacakan geolokasi baru memungkinkan operator Hook untuk melacak posisi tepat korban dengan menyalahgunakan izin “Access Fine Location”.
Target Hook
Aplikasi perbankan target Hook memengaruhi pengguna di Amerika Serikat, Spanyol, Australia, Polandia, Kanada, Turki, Inggris, Prancis, Italia, dan Portugal.
Namun, penting untuk dicatat bahwa cakupan penargetan Hook yang luas mencakup seluruh dunia. ThreatFabric mencantumkan semua target Hook aplikasi di lampiran laporan untuk mereka yang tertarik.
Saat ini, Hook didistribusikan sebagai APK Google Chrome dengan nama paket “com.lojibiwawajinu.guna”, “com.damariwonomiwi.docebi”, “com.damariwonomiwi.docebi”, dan “com.yecomevusaso.pisifo”, tetapi tentu saja, ini bisa berubah kapan saja.
Untuk menghindari terinfeksi malware Android, Anda sebaiknya hanya memasang aplikasi dari Google Play Store atau yang disediakan oleh perusahaan Anda.