Hace sólo unos meses, el Equipo de Respuesta a Incidentes de Seguridad Informática del sector financiero polaco (CSIRT KNF) publicó un análisis detallado de HOOK, un programa malicioso para aplicaciones móviles relativamente nuevo dirigido en gran medida a las instituciones financieras de Polonia y que ahora se ha extendido por todo el mundo.

Esta amenaza, que funciona como un malware como servicio integral de gama alta, brindó a VMX Labs la oportunidad de explicar por qué estos métodos de ataque pueden causar estragos en aplicaciones móviles que carecen de seguridad integrada de nivel profesional.

La razón por la que el malware HOOK es un excelente ejemplo de la necesidad de seguridad in-app reside en su vasto arsenal de capacidades para frustrar las protecciones de terceros. No solo encuentra e incluso elimina por completo los antivirus y la protección de endpoints de los dispositivos, sino que también utiliza complejas superposiciones y un gran número de ataques para, en última instancia, conseguir entrar en instituciones financieras de renombre, como las principales marcas bancarias.

HOOK es una superposición ya preparada que puede personalizarse para 24 aplicaciones específicas de empresas polacas, incluidas las populares aplicaciones de banca móvil, comercio electrónico y servicios públicos. También hay cientos más disponibles para empresas de fuera de Polonia.

HOOK es muy peligroso; puede inutilizar los antivirus y la protección de endpoints. Además, puede impedir que este tipo de herramientas de seguridad se instalen en cualquier momento durante el ataque, ganando un tiempo valioso para que el ataque HOOK busque meticulosamente las aplicaciones que tiene como objetivo. 

Las herramientas tradicionales de protección de puntos finales y antivirus siguen siendo excelentes líneas de defensa, incluso necesarias. Sin embargo, debido a su diseño de aplicaciones independientes, son inherentemente susceptibles a los ataques de estos marcos. Como resultado, se hace esencial una capa adicional de defensa.

Muestra de ataques utilizados por el malware HOOK

Piense en malware HOOK como un troyano troyano bancario que utiliza cientos de superposiciones de lanzamiento creadas metódicamente como herramienta principal, a la vez que aprovecha un montón de ataques complementarios.

La superposición se abre sobre la aplicación móvil legítima de destino y muestra, por ejemplo, una pantalla de inicio de sesión idéntica a la real. La víctima introduce un nombre de usuario y una contraseña, y el registro y la inyección de claves de HOOK roban inmediatamente la información. También oculta los clics y ejecuta los clics de las acciones requeridas. 

Algunas de sus herramientas de ataque incluyen:

  • Redireccionamiento de llamadas de voz
  • Acceso al sistema de archivos local
  • Control de los mensajes de texto
  • Lectura de la posición GPS
  • Control de procesos
  • Detección y desinstalación de software
  • Control de configuración SIM
  • Explotación de problemas de firmware
  • Descargas adicionales de malware
  • Leer, escribir y enviar mensajes de WhatsApp

Cómo funciona el malware HOOK

CSIRT KNF indicó que una parte de estos ataques explotaba el servicio de accesibilidad del dispositivo móvil, una función de Android que permite a los usuarios discapacitados utilizar con éxito el dispositivo. HOOK explota estos servicios para obtener persistencia y escalar permisos según sea necesario enviando pestañas, swipes y pulsaciones de teclas a los controles adecuados y poniendo superposiciones encima de los controles para ocultar la actividad maliciosa, es decir, la app maliciosa solicita nuevos permisos y simplemente los acepta pulsando botones de pantalla a través del servicio. 

También proporciona formas de interceptar SMS, así como autenticadores de Google, y tiene un proxy inverso para que se pueda abusar de los datos de sniff y permitir a los atacantes abusar de estos en tiempo real. La capacidad de leer, escribir y enviar mensajes en WhatsApp también es bastante notable, ya que es una nueva herramienta de ataque incluso para los propios desarrolladores de HOOK.

Evidentemente, una vez que HOOK ha entrado en el dispositivo, el único obstáculo que queda es superar las defensas de las aplicaciones que contienen protecciones en su código. Casi nunca merece la pena que un atacante intente romper una aplicación que es segura y se controla a sí misma. ¿Cuál es el resultado? La única forma en que HOOK podría intentar atacar una de sus aplicaciones objetivo que casualmente utiliza protección dentro de la aplicación es eliminando esa aplicación objetivo. De este modo, el ataque carece de sentido. La aplicación objetivo ya no estaría disponible como conducto para el crimen. ¿Por qué iba uno a quemar un banco si pretendía robarlo?

Los creadores de HOOK, que ya se pueden alquilar en la red oscura por unos 7.000 dólares al mes, consideran que están dando a sus "clientes" la oportunidad de robar grandes sumas de dinero. Y claramente, muchos clientes están de acuerdo en que el gran gasto inicial merece la pena porque saben que la mayoría de las aplicaciones bancarias siguen siendo vulnerables.

¿Cuál es el atractivo para los delincuentes?

HOOK ofrece nuevos exploits para las últimas versiones de Android. En otras palabras, está realmente actualizado en comparación con algunas alternativas más baratas que cuestan menos de la mitad o incluso una cuarta parte. Además, hay una plétora de personalización que, o bien ya existe a través de HOOK, o bien se puede ofrecer fácilmente junto con el "paquete" estándar de MaaS."

El gran número de herramientas de ataque personalizadas tienen como objetivo organizaciones muy destacadas, lo que amplía enormemente el grupo de víctimas potenciales simplemente debido al gran número de descargas y usuarios de aplicaciones móviles de la organización.

Cómo contener el malware HOOK

El enfoque complejo y exhaustivo del ataque, junto con la amplia oportunidad para las víctimas, hace de HOOK una forma de malware que hay que vigilar de cerca. Y Google está muy atento, ya que la empresa anunció este mes el lanzamiento de su nuevo Programa de recompensas por vulnerabilidades en móviles de Google (Mobile VRP). La nueva iniciativa de recompensas por fallos, que ofrece pagos a los investigadores que identifiquen fallos en aplicaciones específicas de Android, es otra señal de que la seguridad dentro de las aplicaciones ya no es una consideración, sino un elemento crítico para la seguridad. Aplaudimos y apoyamos los esfuerzos de Google.

Sin embargo, si usted es una institución financiera que busca prevenir un ataque HOOK, debe considerar el despliegue de contramedidas de ciberseguridad adicionales, tanto dentro de la aplicación móvil como en la superficie de ataque móvil externa. 

Verimatrix XTD es una de estas soluciones, que ofrece una protección asequible y fácil de usar para aplicaciones y ecosistemas móviles. Con su enfoque de código cero y sin agentes, permite una implementación sencilla y sin complicaciones, lo que permite a los clientes bancarios supervisar una superficie de ataque más amplia, incluidos los dispositivos de consumo no gestionados.

Verimatrix XTD detecta eficazmente los ataques activos dentro de la aplicación y responde con prontitud, minimizando los posibles daños. También supervisa el perímetro de los dispositivos conectados, analizando los datos y prediciendo los ataques. Esto permite a las organizaciones proteger proactivamente sus aplicaciones móviles para protegerse contra:

  • Ataques superpuestos
  • Ataques a la cadena de suministro
  • Ataques de reempaquetado
  • Ataques de entrega de carga útil
  • Ataques de suplantación geográfica


Armados con las completas ofertas de seguridad y el soporte experto de Verimatrix XTD, los profesionales de la seguridad de cualquier sector pueden mitigar eficazmente los riesgos asociados a las vulnerabilidades de las aplicaciones móviles y proteger sus activos digitales.