Malware Hook evolui: agora transmite tela, rouba dados bancários e até criptomoedas

Fonte: Hardware.com.br

Uma nova e perigosa evolução do malware Hook foi detectada recentemente, transformando o que já era um trojan bancário prejudicial em uma ferramenta multifuncional de ataque digital. A versão 3 do programa malicioso agora é capaz de transmitir a tela dos dispositivos em tempo real, roubar dados bancários e até mesmo capturar frases de recuperação de carteiras de criptomoedas, representando uma ameaça significativa para usuários de smartphones Android.

De acordo com a equipe de pesquisa zLabs da Zimperium, empresa especializada em segurança móvel, o malware Hook recebeu 38 novos comandos remotos, elevando seu arsenal total para impressionantes 107 funções. Essa expansão oferece aos criminosos um controle sem precedentes sobre os dispositivos infectados.

Entre as capacidades mais alarmantes da nova versão, destacam-se funções que permitem aos atacantes exibir formulários falsos para captura de informações bancárias, enviar mensagens SMS para contatos da vítima, fotografar o usuário usando a câmera frontal e até mesmo bloquear o dispositivo com uma tela de ransomware exigindo pagamento.

Uma característica particularmente invasiva é a possibilidade de transmissão em tempo real da tela do dispositivo, permitindo que os criminosos acompanhem todas as ações do usuário, incluindo o preenchimento de senhas, padrões de desbloqueio e outras informações sensíveis.

Formulário falso exibido por trojan bancário para capturar credenciais. Comandos sofisticados ampliam o potencial de ataque

O novo arsenal do malware Hook inclui comandos especializados como “ransome”, que exibe uma tela de bloqueio completa com mensagem de extorsão, e “delete_ransome”, que remove essa sobreposição quando conveniente ao atacante.

Outros comandos perigosos incluem “takenfc”, que simula uma leitura de cartão via NFC com interface falsa, “unlock_pin”, que apresenta telas falsas de desbloqueio para roubar PINs e padrões, e “takencard”, que imita a interface do Google Pay para coletar dados de cartões de crédito.

A função “start_record_gesture” permite que os criminosos registrem todos os toques e gestos realizados na tela, facilitando a reprodução posterior dessas ações para acesso não autorizado a contas e aplicativos.

O componente de ransomware implementado nesta versão é particularmente sofisticado, utilizando dados recebidos remotamente para personalizar a mensagem de bloqueio, incluindo o valor exigido e a carteira de criptomoeda para pagamento do resgate.

Métodos de infecção e distribuição global

De acordo com os pesquisadores da Zimperium, o malware Hook está sendo distribuído globalmente através de sites de phishing e repositórios falsos no GitHub, onde os criminosos hospedam arquivos APK maliciosos que se passam por aplicativos legítimos.

Este método de distribuição não é exclusivo do Hook, sendo também utilizado por outras famílias de malware como ERMAC e Brokewell, indicando uma tendência crescente entre grupos de cibercrime.

Tela de bloqueio falsa utilizada pelo malware para capturar PINs e padrões. A estratégia de infecção depende fortemente da instalação de aplicativos fora da Google Play Store, aproveitando-se da possibilidade dos dispositivos Android instalarem software de fontes alternativas.

Como se proteger desta ameaça

Para evitar ser vítima do malware Hook e outras ameaças semelhantes, especialistas em segurança recomendam algumas medidas essenciais: