LEBIGDATA.FR I.A, Cloud & Cybersécurité
Le 25 août 2025, l’entreprise de cybersécurité mobile Zimperium a révélé Hook v3, une nouvelle variante d’un malware Android.
Conçu à l’origine pour le vol bancaire, ce cheval de Troie s’est mué en menace hybride, combinant ransomware et espionnage. Avec ses 107 commandes à distance, Hook v3 offre aux cybercriminels un contrôle quasi total des smartphones infectés.
Les commandes de contrôle de Hook v3
Hook v3 partage son ADN avec le malware Ermac, dont le code source a fuité sur des répertoires publics. Mais cette variante introduit 38 nouvelles commandes pour un total de 107, faisant d’elle l’un des trojans bancaires les plus sophistiqués à ce jour.
Son approche repose sur l’abus des services d’accessibilité d’Android, initialement conçus pour assister les personnes handicapées. Après installation, le malware réclame ces permissions sous prétexte d’améliorer l’expérience utilisateur. Une fois activé, Hook v3 se connecte à un serveur C2 pour recevoir ses ordres.
Les commandes imitent des gestes humains pour une manipulation naturelle du téléphone. “swipeup” balaie vers le haut, “tap” exécute un toucher, “longpress” maintient la pression, et “clickat” simule un clic précis à l’écran. Les hackers naviguent ainsi dans l’interface comme s’ils tenaient réellement l’appareil.
Au-delà du contrôle direct, Hook v3 pratique aussi phishing et overlays. La commande “takencard” génère un faux écran Google Pay afin de capturer les informations bancaires. Avec “takenfc”, l’utilisateur croit scanner une carte NFC légitime, mais transmet ses données aux attaquants.
La menace s’aggrave avec “unlock_pin” et “patternp” qui affichent de faux écrans de déverrouillage. Ces overlays collectent codes PIN et schémas, ouvrant un accès illimité aux smartphones compromis.
Les aspects ransomware et espionnage
La commande “ransome” active un écran d’alerte en plein écran, affichant un message de menace. Généralement, une demande de paiement en cryptomonnaie accompagne ce chantage, avec un montant et une adresse Bitcoin récupérés en temps réel depuis le serveur C2.
L’appareil reste bloqué, impossible à utiliser sans la commande secrète “delete_ransome”, réservée aux pirates. Hook v3 ne chiffre pas les fichiers. Mais cette tactique d’extorsion visuelle suffit à pousser de nombreuses victimes à payer pour retrouver l’accès.
Ce malware intègre aussi un arsenal d’espionnage avancé. Les commandes “start_vnc” et “start_hvnc” diffusent l’écran en direct, tandis que “takescreenshot” capture des images instantanées.
Plus discret, “takephoto” active la caméra frontale à l’insu de l’utilisateur. Encore plus intrusif, “start_record_gesture” enregistre les gestes tactiles via un overlay invisible.
Hook v3 détourne aussi les fonctions de communication. “Makecall” passe des appels, “sendsms” envoie des messages, et “forwardsms” redirige les conversations.
“getcontacts” aspire les carnets d’adresses, “getsms” vole les messages, “getcallhistory” les historiques d’appels, et “getimages” les photos stockées.
Cette variante de Hook cible même les cryptomonnaies. Des commandes telles que “bitcoincom”, “metamask” ou “trust” lancent directement les applications de wallets pour subtiliser les phrases de récupération grâce aux services d’accessibilité.
La commande “getlocation” fournit la géolocalisation en temps réel, tandis que “fmmanager” explore les fichiers sensibles, offrant aux attaquants une vision complète de l’appareil.
Une distribution via GitHub
La propagation de Hook v3 s’appuie sur GitHub, plateforme pourtant perçue comme légitime. Les cybercriminels y déposent de faux fichiers APK, partagés ensuite sur des forums clandestins ou des sites de phishing. Cette méthode contourne les filtres de sécurité classiques.
Bien que Zimperium ait collaboré avec GitHub pour supprimer plusieurs dépôts, les attaquants automatisent leur prolifération. Chaque suppression entraîne aussitôt la création de nouveaux dépôts malveillants.
L’analyse du code a révélé des indices d’évolution. Des références à RabbitMQ, un outil de messagerie professionnelle utilisé par Netflix ou Airbnb, laissent présager une infrastructure C2 plus robuste et scalable, encore inactive pour l’instant.
D’autres fragments liés à Telegram suggèrent une future exploitation de l’application chiffrée, permettant des communications directes entre Hook v3 et ses opérateurs, sans passer par des serveurs traditionnels plus facilement traçables.
Restez à la pointe de l'information avec LEBIGDATA.FR !
- Partager l'article :
