Cyberthreat.id – Peneliti keamanan dari ThreatFabric mengungkapkan bahwa malware Android baru bernama Hook dijual oleh penjahat siber, dan mengklaim bahwa dapat mengambil alih perangkat seluler dari jarak jauh secara real-time menggunakan VNC (komputasi jaringan virtual).

Malware baru ini dipromosikan oleh pembuat Ermac, sebuah trojan perbankan Android yang dijual seharga $5.000/bulan yang membantu pelaku ancaman mencuri kredensial dari lebih dari 467 aplikasi perbankan dan crypto melalui halaman login berlapis.

Dikutip dari Bleeping Computer, pembuat Hook mengklaim jika malware tersebut ditulis dari awal, dan memiliki beberapa fitur tambahan dibandingkan dengan Ermac. Namun para peneliti di ThreatFabric membantah klaim ini dan melaporkan melihat tumpang tindih kode yang luas antara kedua keluarga.

Peneliti mengatakan bahwa Hook berisi sebagian besar basis kode Ermac, jadi masih berupa trojan perbankan. Pada saat yang sama, itu mencakup beberapa bagian yang tidak perlu yang ditemukan di strain lama yang mengindikasikannya menggunakan kembali kode secara massal.

Terlepas dari asalnya, Hook adalah evolusi dari Ermac, menawarkan serangkaian kemampuan ekstensif yang membuatnya menjadi ancaman yang lebih berbahaya bagi pengguna Android. Salah satu fitur baru Hook dibandingkan dengan Ermac adalah pengenalan komunikasi WebSocket yang hadir sebagai tambahan lalu lintas HTTP yang digunakan secara eksklusif oleh Ermac. Lalu lintas jaringan masih dienkripsi menggunakan kunci hardcode AES-256-CBC.

Tambahan utamanya adalah modul 'VNC' yang memberi pelaku ancaman kemampuan untuk berinteraksi dengan antarmuka pengguna dari perangkat yang disusupi secara real-time. Sistem baru ini memungkinkan operator Hook untuk melakukan tindakan apa pun pada perangkat, mulai dari eksfiltrasi PII hingga transaksi moneter.

“Dengan fitur ini, Hook bergabung dengan jajaran keluarga malware yang mampu melakukan DTO penuh, dan menyelesaikan rantai penipuan penuh, dari eksfiltrasi PII hingga transaksi, dengan semua langkah perantara, tanpa memerlukan saluran tambahan, operasi semacam ini jauh lebih sulit dideteksi,” ThreatFabric memperingatkan.

Malware ini juga memiliki fitur “Manajer File” mengubah malware menjadi pengelola file, yang memungkinkan pelaku ancaman mendapatkan daftar semua file yang disimpan di perangkat dan mengunduh file tertentu pilihan mereka. Perintah penting lainnya yang ditemukan ThreatFabric berkaitan dengan WhatsApp, memungkinkan Hook untuk mencatat semua pesan di aplikasi IM populer dan bahkan mengizinkan operator untuk mengirim pesan melalui akun korban.

“Mereka juga memiliki sistem pelacakan geolokasi baru memungkinkan operator Hook untuk melacak posisi tepat korban dengan menyalahgunakan izin Access Fine Location,” kata Perusahaan tersebut.

Peneliti mengatakan, aplikasi perbankan target Hook memengaruhi pengguna di Amerika Serikat, Spanyol, Australia, Polandia, Kanada, Turki, Inggris, Prancis, Italia, dan Portugal. Namun, penting untuk dicatat bahwa cakupan penargetan Hook yang luas mencakup seluruh dunia. ThreatFabric mencantumkan semua target Hook aplikasi dalam lampiran laporan bagi mereka yang tertarik.

Saat ini, Hook didistribusikan sebagai APK Google Chrome dengan nama paket "com.lojibiwawajinu.guna", "com.damariwonomiwi.docebi", "com.damariwonomiwi.docebi", dan "com.