# HookBot > Tipo: **banking trojan** (Android) · [ThreatFabric Research] ## Descrição [[hookbot|HookBot]] (também conhecido como HOOK) é um avançado trojan bancário para Android descoberto pela ThreatFabric no início de 2023, desenvolvido como evolução do [[ermac|ERMAC]] - outro trojan bancário para Android. O HOOK foi disponibilizado inicialmente como serviço (MaaS) em fóruns clandestinos por US$7.000/mês, tornando-o acessível a grupos de crime cibernético com recursos financeiros. Sua sofisticação técnica o distingue dos trojans bancários convencionais: além das capacidades tradicionais de overlay e keylogging, o HookBot implementa controle remoto total do dispositivo via WebSocket. A capacidade mais diferenciadora do HookBot é o suporte a VNC (Virtual Network Computing) no dispositivo Android da vítima, permitindo ao operador ver e interagir com a tela do dispositivo em tempo real. Isso possibilita a realização de transações fraudulentas diretamente no dispositivo da vítima, contornando controles de autenticação baseados em localização e dispositivo. O malware também intercepta SMS para bypass de autenticação de dois fatores, acessa listas de contatos para propagação via smishing, e rastreia localização GPS. A capacidade de exfiltrar seeds de carteiras de criptomoeda o torna relevante para fraudes contra usuários de exchanges. O HookBot mira principalmente aplicativos bancários e de criptomoeda, usando ataques de overlay (exibição de telas falsas sobre aplicativos legítimos) para capturar credenciais. Suporta mais de 700 aplicativos-alvo, incluindo aplicativos de bancos brasileiros como [[itau|Itaú]], [[bradesco|Bradesco]], [[nubank|Nubank]] e outros. A distribuição ocorre via lojas de aplicativos não-oficiais, links de phishing e engenharia social via WhatsApp. **Plataformas:** Android ## Técnicas Utilizadas - [[t1417-001-keylogging|T1417.001 - Keylogging]] - [[t1417-002-gui-input-capture|T1417.002 - GUI Input Capture]] - [[t1433-access-contact-list|T1433 - Access Contact List]] - [[t1432-access-call-log|T1432 - Access Call Log]] - [[t1430-location-tracking|T1430 - Location Tracking]] - [[t1636-004-sms-messages|T1636.004 - SMS Messages]] - [[t1644-out-of-band-data|T1644 - Out-of-Band Data]] - [[t1521-001-web-protocols|T1521.001 - Web Protocols]] ## Detecção No dispositivo Android, soluções de Mobile Threat Defense (MTD) como Lookout, Zimperium e CrowdStrike Falcon for Mobile detectam comportamentos característicos do HookBot: uso de Accessibility Services para interação com outros aplicativos, interceptação de SMS e captura de tela contínua. Do lado bancário, sistemas de detecção de fraude que monitoram anomalias comportamentais nas transações (localização incomum, padrão de navegação diferente do habitual) são eficazes. Bancos brasileiros devem atualizar assinaturas de detecção de overlay regularmente para cobrir novas variantes. > [!danger] Alta Relevância para Brasil > O HookBot inclui aplicativos bancários brasileiros em sua lista de alvos e é ativamente distribuído via WhatsApp no Brasil. É uma ameaça direta ao setor financeiro nacional. ## Relevância LATAM/Brasil O HookBot é de altíssima relevância para o Brasil, que possui um dos maiores mercados de banking mobile do mundo. Pesquisadores documentaram variantes do HookBot com targets específicos para bancos brasileiros, e a distribuição via WhatsApp - plataforma dominante no Brasil - aumenta significativamente o alcance. O [[febraban|Febraban]] (Federação Brasileira de Bancos) e o Banco Central do Brasil monitoram ativamente trojans bancários móveis e públicam alertas sobre novas ameaças. O setor financeiro brasileiro investe significativamente em detecção comportamental de fraudes para combater ameaças como o HookBot. ## Referências - [ThreatFabric - HOOK: New Android Banking Trojan](https://www.threatfabric.com/blogs/hook-a-new-ermac-based-banking-trojan) - [Kaspersky - Android banking trojans in Brazil](https://securelist.com/banking-trojans-in-latin-america/)