ThreatFabricは1月19日(オランダ時間)、「Hook: a new Ermac fork with RAT capabilities — ThreatFabric」において、Androidユーザーを標的とした遠隔操作ウイルス(RAT: Remote Administration Tool)型マルウェアが配布されていると伝えた。Androidデバイスに保存されたファイルにアクセスし、あらゆるデータを窃取するAndroidバンキング型トロイの木馬が報告されている。
「Hook」と呼ばれているこのマルウェアは他の同種のAndroidマルウェアと同様、AndroidのアクセシビリティサービスAPIを悪用してオーバーレイ攻撃を行い、連絡先、通話ログ、キーストローク、二要素認証(2FA: Two-Factor Authentication)トークン、メッセージアプリの情報といったあらゆる種類の機密情報を窃取することが確認されている。
このマルウェアを開発したのは「DukeEugene」として知られているサイバー攻撃者とされている。このマルウェアは2021年9月に初めて公開され、2020年にソースコードが流出した「Cerberus」という別のトロイの木馬型マルウェアをベースにした金融アプリを標的としたAndroidマルウェアである「ERMAC」を進化させたものと分析されている(参考「金融アプリをターゲットにする新しいAndroidマルウェア「ERMAC」に注意 | TECH+(テックプラス)」)。
標的は世界各国の金融機関で、特に米国、スペイン、オーストラリア、ポーランド、カナダ、トルコ、英国、フランス、イタリア、ポルトガルが主なターゲット国とされている。
バンキング型トロイの木馬は長い間、被害に気づかない可能性がある非常に危険な脅威とされている。悪意のあるアプリおよびペイロード、顧客のデバイスで発生した不審な動作を速やかに検出し、組織全体で対策を講じることが推奨されている。