The Hacker Newsは9月18日(現地時間)、「Hook: New Android Banking Trojan That Expands on ERMAC's Legacy」において、「Hook」と呼ばれるAndroid向けトロイの木馬型マルウェアが、「ERMAC」と呼ばれるマルウェアをベースにしていると伝えた。

この報道は、2023年9月11日(英国時間)にNCC Groupのセキュリティ研究者Joshua Kamp氏とAlberto Segura氏が公開した技術分析レポートに基づくもの。同レポートによると、ERMACに存在する30ものコマンドがすべてHookにも存在し、そのコードの実装もほぼ同じであることから、HookはERMACを基に開発されたと結論づけている。

HookにはAndroid上のさまざまな情報を窃取する機能があるとされる。中でも特徴的なものとして、暗号資産ウォレットアプリからリカバリーシードを自動的に窃取する機能が指摘されている。さらに、ウォレットアドレスを差し替える機能もあるとされるが、この機能は期待どおりには動作しなかったと分析されており、不正送金は失敗したとみられている。

レポートによると、Hookは2023年1月12日にレンタル可能として公開された比較的新しいマルウェアとされる。しかしながらその運用は短く、3カ月後の2023年4月19日に「特別軍事作戦」を理由にプロジェクトを終了している。その後2023年5月11日、Hookのソースコードは7万ドルで販売されたとみられ、今後Hookの亜種がリリースされることが懸念されている 。

レポートでは、セキュリティ侵害インジケータ(IoC: Indicator of Compromise)を公開している。亜種の攻撃からの防衛には効果が期待できないが、予防的処置として活用が期待される。