Hook: Trojan Perbankan Android Terbaru yang Memperluas Warisan ERMAC
Cyberthreat.id - Analisis baru terhadap trojan perbankan Android yang dikenal sebagai Hook telah mengungkapkan bahwa trojan tersebut didasarkan pada pendahulunya yang disebut ERMAC.
“Kode sumber ERMAC digunakan sebagai dasar untuk Hook,” kata peneliti keamanan NCC Group Joshua Kamp dan Alberto Segura dalam analisis teknis sebagaimana dikutip The Hacker News.
"Semua perintah (total 30) yang dapat dikirim oleh operator malware ke perangkat yang terinfeksi malware ERMAC, juga ada di Hook. Implementasi kode untuk perintah ini hampir sama."
Hook pertama kali didokumentasikan oleh ThreatFabric pada Januari 2023, menggambarkannya sebagai "garpu ERMAC" yang ditawarkan untuk dijual seharga $7.000 per bulan.
Kedua strain tersebut merupakan hasil karya pembuat malware bernama DukeEugene.
Meskipun demikian, Hook memperluas fungsionalitas ERMAC dengan lebih banyak kemampuan, mendukung sebanyak 38 perintah tambahan jika dibandingkan dengan yang terakhir.
Fitur inti ERMAC dirancang untuk mengirim pesan SMS, menampilkan jendela phishing di atas aplikasi yang sah, mengekstrak daftar aplikasi yang terinstal, mengumpulkan pesan SMS, dan menyedot frase benih pemulihan untuk beberapa dompet mata uang kripto.
Hook, di sisi lain, melangkah lebih jauh dengan melakukan streaming layar korban dan berinteraksi dengan antarmuka pengguna untuk mendapatkan kendali penuh atas perangkat yang terinfeksi, mengambil foto korban menggunakan kamera menghadap ke depan, memanen cookie yang terkait dengan sesi login Google, dan menjarah benih pemulihan dari lebih banyak dompet kripto.
Selanjutnya dapat mengirim pesan SMS ke beberapa nomor telepon, yang secara efektif menyebarkan malware ke pengguna lain.
Terlepas dari perbedaan ini, Hook dan ERMAC dapat mencatat penekanan tombol dan menyalahgunakan layanan aksesibilitas Android untuk melakukan serangan overlay guna menampilkan konten di atas aplikasi lain dan mencuri kredensial dari lebih dari 700 aplikasi.
Daftar aplikasi yang ditargetkan diambil dengan cepat melalui permintaan ke server jarak jauh.
Keluarga malware juga dirancang untuk memantau peristiwa clipboard dan mengganti konten dengan dompet yang dikendalikan penyerang jika korban menyalin alamat dompet yang sah.
Mayoritas server perintah dan kontrol (C2) Hook dan ERMAC berlokasi di Rusia, diikuti oleh Belanda, Inggris, AS, Jerman, Prancis, Korea, dan Jepang.
Pada 19 April 2023, tampaknya proyek Hook telah ditutup, menurut postingan yang dibagikan oleh DukeEugene, yang mengaku akan berangkat untuk "operasi militer khusus" dan dukungan untuk perangkat lunak tersebut akan disediakan oleh aktor lain bernama RedDragon hingga langganan pelanggan habis.
Selanjutnya, pada 11 Mei 2023, kode sumber Hook dikatakan telah dijual oleh RedDragon seharga $70.000 di forum bawah tanah.
Selain umur Hook yang pendek, perkembangan ini telah meningkatkan kemungkinan bahwa pelaku ancaman lain dapat mengambil tindakan dan merilis varian baru di masa depan.
Pengungkapan ini terjadi ketika pelaku ancaman China-nexus telah dikaitkan dengan kampanye spyware Android yang menargetkan pengguna di Korea Selatan sejak awal Juli 2023.
“Malware ini didistribusikan melalui situs phishing yang menipu dan menyamar sebagai situs dewasa namun sebenarnya mengirimkan file APK berbahaya,” kata Cyble kepada The Hacker News.
“Setelah malware menginfeksi mesin korban, ia dapat mencuri berbagai informasi sensitif, termasuk kontak, pesan SMS, log panggilan, gambar, file audio, rekaman layar, dan tangkapan layar.”
Selain itu, malware (nama paket APK "com.example.middlerankapp") memanfaatkan layanan aksesibilitas untuk memantau aplikasi yang digunakan oleh korban dan mencegah penghapusan instalasi.
Ini juga berisi fitur yang memungkinkan malware untuk mengalihkan panggilan masuk ke nomor ponsel yang ditentukan dan dikendalikan oleh penyerang, mencegat pesan SMS, dan menggabungkan fungsi keylogging yang belum selesai, yang menunjukkan bahwa kemungkinan besar malware tersebut sedang dalam pengembangan aktif.
Koneksi ke Tiongkok berasal dari referensi ke Hong Kong dalam informasi rekaman WHOIS untuk server C2 serta adanya beberapa string bahasa Tiongkok, termasuk "中国共产党万岁," dalam kode sumber malware, yang diterjemahkan menjadi "Hiduplah Partai Komunis Tiongkok."
Dalam perkembangan terkait, surat kabar Israel Haaretz mengungkapkan bahwa perusahaan spyware dalam negeri Insanet telah mengembangkan produk bernama Sherlock yang dapat menginfeksi perangkat melalui iklan online untuk mengintip target dan mengumpulkan data sensitif dari sistem Android, iOS, dan Windows.
Sistem ini dikatakan telah dijual ke negara yang bukan negara demokrasi, lapornya, dan menambahkan sejumlah perusahaan siber Israel telah berusaha mengembangkan teknologi ofensif yang mengeksploitasi iklan untuk membuat profil korban (istilah yang disebut AdInt atau intelijen iklan) dan mendistribusikan spyware.[]