hook-malware - RunkIntel

# Hook > [!danger] Resumo > Trojan bancário Android avançado que evoluiu do [[cerberus-malware|Cerberus]] (via Alien), oferecendo device takeover (DTO) completo através de VNC remoto, ataques de overlay, keylogging e, na versão 3, capacidades de ransomware e NFC spoofing. ## Visão Geral O [[hook-malware|Hook]] representa a evolução mais avançada da linhagem [[cerberus-malware|Cerberus]]-Alien, incorporando funcionalidades de trojan bancário, spyware e, a partir da versão 3 (2025), ransomware. O malware opera como Malware-as-a-Service (MaaS) em fóruns underground, herdando a base de código do Alien (fork do Cerberus v1 de 2020) e expandindo significativamente suas capacidades. A versão 3 do Hook, documentada em 2025, introduziu **107 comandos remotos** (38 novos), incluindo extorsão estilo ransomware com criptografia de arquivos, overlays NFC falsos para interceptação de dados de pagamento e streaming VNC/HVNC stealth. Esta evolução borrou as fronteiras entre trojan bancário, spyware e ransomware. O Hook compartilha táticas de distribuição com derivados do Cerberus como ERMAC, sendo distribuído via sites de phishing, repositórios GitHub falsos e apps trojanizados, tornando-o uma das ameaças móveis mais versáteis e perigosas em atividade. ## Capacidades Técnicas - **Device Takeover (DTO)**: Controle remoto completo do dispositivo via abuso de Android Accessibility Services - simula gestos, toques, swipes e interações com a UI - **VNC/HVNC**: `start_vnc` captura screenshots em Base64 para streaming visual; `start_hvnc` envia hierarquia AccessibilityNodeInfo em JSON para interação programática stealth - **Overlay attacks**: Telas falsas sobre apps bancários e financeiros para captura de credenciais (ex: Google Pay falso via WebView `takencard`) - **Keylogging**: Captura contínua de entradas via serviços de acessibilidade - **Gravação de gestos**: `start_record_gesture` com overlays transparentes para captura silenciosa de inputs - **Ransomware (v3)**: Criptografia de arquivos e extorsão - **NFC spoofing (v3)**: Overlays NFC falsos para interceptação de dados de pagamento contactless - **Screen lock bypass**: `unlock_pin` e `get_unlockpass` para tentativa de desbloqueio do dispositivo - **Stealth**: `action_blackscreen` oculta atividade; `nighty` silencia áudio durante operações remotas ## Táticas, Técnicas e Procedimentos (TTPs) | Tática | Técnica | Descrição | |--------|---------|-----------| | Execução | [[t1204-002-malicious-file\|T1204.002]] | Distribuição via APKs maliciosos em sites de phishing e GitHub falso | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogging contínuo via Accessibility Services | | Evasão | [[t1027-002-software-packing\|T1027.002]] | JSONPacker e ofuscação de código | | C2 | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação HTTP/HTTPS com servidor C2 | | Coleta | [[t1005-data-from-local-system\|T1005]] | Roubo de SMS, contatos, notificações | | Evasão | [[t1055-process-injection\|T1055]] | Injeção de overlays em processos de apps legítimos | | Acesso a Credenciais | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Interceptação de credenciais via overlays | ## Cadeia de Infecção 1. **Distribuição**: Sites de phishing, repositórios GitHub falsos com APKs maliciosos, ou apps trojanizados em lojas alternativas 2. **Instalação**: App solicita permissões de acessibilidade - core de toda a operação 3. **Escalação**: Accessibility Service auto-concede permissões adicionais, desabilita proteções 4. **Comúnicação C2**: Beacon inicial com registro do dispositivo e recebimento de configuração 5. **Overlay deployment**: Monitoramento de apps abertos → injeção de telas falsas sobre apps bancários-alvo 6. **Device takeover**: Operador inicia sessão VNC/HVNC para controle remoto completo 7. **Fraude**: Execução de transações bancárias, transferências, ou extorsão via ransomware (v3) 8. **Exfiltração**: Dados roubados (credenciais, SMS, notificações 2FA) enviados ao painel C2 ## Atores Associados O Hook é operado como **Malware-as-a-Service** por múltiplos operadores no underground cibernético. Sua linhagem conecta-o à família [[cerberus-malware|Cerberus]] → Alien → Hook, com infraestrutura compartilhada com variantes como [[perseus-malware|Perseus]], Medusa e Klopatra. ## Indicadores de Comprometimento (IoCs) IoCs do Hook são dinâmicos devido ao modelo MaaS com múltiplos operadores. Consulte relatórios atualizados da [[zimperium|Zimperium]] e análises do PolySwarm para infraestrutura C2 corrente. Detecção comportamental via EDR/MDM é mais eficaz que IoCs estáticos para esta ameaça. ## Referências - [Zimperium - Hook Version 3: Banking Trojan with Most Advanced Capabilities](https://zimperium.com/blog/hook-version-3-the-banking-trojan-with-the-most-advanced-capabilities) - [PolySwarm - Hook Android Banking Trojan Evolves](https://blog.polyswarm.io/hook-android-banking-trojan-evolves) - [The Hacker News - Hook Android Trojan Adds Ransomware](https://thehackernews.com/2025/08/hook-android-trojan-adds-ransomware.html) - [Dark Reading - Hook Android Trojan Ransomware Attacks](https://www.darkreading.com/endpoint-security/hook-android-trojan-ransomware-attacks)