La condivisione con i virus, che si evolvono quotidianamente al pari della tecnologia che ci aiuta a vivere meglio, ormai è una costante.

Phishing, spyware, ransomware, trojan e compagnia cantante, sono ormai parole entrate nel vocabolario italiano, quasi di uso colloquiale. Ma all’orizzonte ecco un’altra minaccia che mette qualsiasi utente in pericolo.

Un nuovo malware Android chiamato sta acquisendo sempre più fama nel mondo dei criminali informatici, venduto a caro prezzo con connotati allarmanti: è un virus che va attualmente di moda, io suoi effetti sono devastanti.

Si chiama “Hook”, come il capitano. E si vantandosi di poter assumere il controllo da remoto dei dispositivi mobili, in tempo reale, grazie all’utilizzo del virtual network computing, o più semplicemente VNC. Il nuovo malware è promosso dal creatore di Ermac, un trojan bancario Android venduto all’incredivile cifra di cinquemila dollari al mese, che aiuta gli autori delle minacce a rubare credenziali da oltre 467 app bancarie e crittografiche, tramite pagine di accesso sovrapposte.

Mentre l’inventore del malware Hook si bea nel Dark Web che il nuovo virus è stato scritto praticamente da zero e ha diverse funzionalità aggiuntive, ulteriormente più complesse rispetto a Ermac, i ricercatori di ThreatFabric contestano queste affermazioni e riferiscono di aver visto ampie sovrapposizioni di codice tra le due famiglie. Insomma cambierebbe il nome, non la sostanza. Non per questo si possono dormire sonni tranquilli.

Un ampio set di funzionalità più aggressive di Ermac

ThreatFabric ha spiegato per filo e per segno cos’è Hook e come funziona: contiene la maggior parte del codice di base di Ermac, quindi è stato classificato sempre com un trojan bancario. Allo stesso tempo, però, ed è qui la differenza con il suo parente, include diverse parti non necessarie trovate nel vecchio ceppo che indicano che ha riutilizzato il codice in blocco.

Hook, dunque, è un’evoluzione di Ermac, offre un ampio set di funzionalità che lo rendono una minaccia più pericolosa, soprattutto per gli utenti Android. Una nuova funzionalità di Hook rispetto a Ermac è l’introduzione della comunicazione WebSocket che si aggiunge al traffico HTTP utilizzato esclusivamente da Ermac. Il traffico di rete è ancora crittografato utilizzando una chiave hardcoded AES-256-CBC.

L’aggiunta di spicco, quella che spaventa più di tutti i malcapitati utenti che utilizzano dispositivi griffati dal Robottino Verde, è il modulo “VNC” che offre agli attori delle minacce la possibilità di interagire con l’interfaccia utente del dispositivo compromesso in tempo reale. E non è un piccolo particolare.