Negli ultimi mesi, la sicurezza mobile ha subito nuove minacce a causa dell’evoluzione dei trojan bancari Android. Tra questi, il malware HOOK si sta distinguendo per la sua pericolosità e versatilità. L’ultima variante rilevata dagli esperti di sicurezza introduce una funzionalità di overlay ransomware, capace di bloccare lo schermo del dispositivo e mostrare una richiesta di riscatto. Questa schermata minacciosa, che invita la vittima a inviare una somma di denaro a un portafoglio digitale, viene attivata in remoto dagli attaccanti tramite un comando specifico dal server di controllo. È possibile anche la rimozione dell’overlay da parte degli stessi criminali tramite un altro comando.

HOOK deriva dal noto trojan bancario ERMAC, il cui codice sorgente è stato reso pubblico, facilitando così la nascita di nuove varianti sempre più sofisticate. Come altri malware simili, HOOK utilizza overlay finti sopra le app bancarie per rubare le credenziali degli utenti e sfrutta i servizi di accessibilità di Android per automatizzare le frodi e prendere il controllo totale dei dispositivi infetti.

Nelle ultime versioni di HOOK

HOOK supporta ben 107 comandi remoti, di cui 38 sono nuove aggiunte. Oltre al già citato overlay ransomware, il trojan può mostrare finte schermate NFC per indurre le vittime a condividere dati sensibili, creare overlay trasparenti per registrare i gesti sullo schermo e simulare schermate di sblocco per carpire PIN o pattern di sicurezza. Altre funzionalità includono la possibilità di inviare SMS, trasmettere in streaming ciò che accade sullo schermo, scattare foto con la fotocamera frontale e rubare i cookie o le frasi di recupero dei wallet di criptovalute.

Modalità di diffusione

La diffusione di HOOK avviene tramite campagne di phishing e repository GitHub fasulli che distribuiscono APK malevoli. Questo metodo di distribuzione è condiviso anche da altri malware Android come ERMAC e Brokewell, segnalando una tendenza crescente tra gli attori delle minacce.

L’evoluzione di HOOK mostra come i trojan bancari stiano rapidamente acquisendo capacità tipiche di spyware e ransomware, rendendo sempre più labile il confine tra le diverse categorie di minacce informatiche. Il risultato è un rischio crescente per utenti privati, aziende e istituzioni finanziarie, che devono adottare strategie di difesa sempre più avanzate contro queste campagne malevole.