Банков троянски кон ERMAC V3.0
Изследователи по киберсигурност анализираха ERMAC 3.0, най-новата версия на троянски кон за банкиране за Android, разкривайки както разширени възможности, така и критични слабости в инфраструктурата на операторите. Този зловреден софтуер представлява забележителна крачка напред в заплахите за мобилното банкиране, насочена към широк спектър от финансови и дигитални платформи.
Съдържание
От Cerberus до ERMAC 3.0: Злонамерена еволюция
Документиран за първи път през септември 2021 г., ERMAC води началото си от скандалните семейства Cerberus и BlackRock. Зловредният софтуер се приписва на злонамерен персонаж, известен като DukeEugene, и постепенно се е развил от ранни наслагващи атаки до сложна операция „злонамерен софтуер като услуга“ (MaaS).
ERMAC 3.0 вече заплашва над 700 приложения, обхващащи банкови услуги, пазаруване и криптовалутни услуги. Други щамове на зловреден софтуер, като Hook (ERMAC 2.0), Pegasus и Loot, споделят произхода си с ERMAC, като заимстват и променят кодови компоненти, предавани чрез последователни версии.
Анализиране на инструментариума за зловреден софтуер
Изследователите разкриха пълния изходен код на ERMAC 3.0, разкривайки неговата модулна структура. Инструментариумът се състои от няколко взаимосвързани компонента, всеки от които играе ключова роля в провеждането на мащабни киберпрестъпни кампании:
Backend C2 сървър – Позволява на атакуващите да управляват заразени устройства, да извличат SMS логове, откраднати идентификационни данни и данни от устройствата.
Фронтенд панел – Предоставя операторски интерфейс за издаване на команди, разполагане на наслагвания и преглед на компрометирана информация.
Сървър за ексфилтрация – сървър, задвижван от Golang, предназначен за кражба на данни и управление на компрометирани устройства.
ERMAC Backdoor – Android имплант, базиран на Kotlin, способен на дистанционно управление, събиране на данни и избягване на устройства, разположени в страните от ОНД.
ERMAC Builder – Инструмент за конфигуриране, който автоматизира създаването на злонамерени APK файлове чрез персонализиране на данни за сървъра и параметри на задната вратичка.
Нови функции в ERMAC 3.0
Троянският кон от трето поколение въвежда няколко подобрения спрямо своите предшественици. Те включват:
- Разширени техники за инжектиране на формуляри за кражба на идентификационни данни.
- Преработен панел за командване и контрол (C2) за рационализиране на операциите.
- Нов Android бекдор с подобрени функции за манипулиране на устройства.
- Сигурна комуникация чрез AES-CBC криптиране.
Пукнатини в криминалната инфраструктура
Въпреки подобрените си възможности, ERMAC 3.0 страда от сериозни оперативни грешки. Изследователите откриха недостатъци, включително твърдо кодирана JWT секретна идентификация, статичен администраторски токен, root идентификационни данни по подразбиране и дори неограничена регистрация в администраторския контролен панел. Тези слабости подчертават не само лошата хигиена на сигурността на операторите, но и предоставят ценни входни точки за защитниците, които се стремят да наблюдават, откриват и прекъсват активността на троянеца в реални кампании.
Защита срещу мобилни заплахи
Разкриването на вътрешните механизми на ERMAC 3.0 служи като напомняне за нарастващата сложност на банковите троянци за Android. Докато киберпрестъпниците продължават да усъвършенстват инструментите си, грешките им все още могат да бъдат използвани в полза на екипите по сигурността. За обикновените потребители поддържането на бдителност остава най-ефективната линия на защита. Инсталирането на приложения само от надеждни източници, актуализирането на устройствата с най-новите корекции за сигурност и избягването на подозрителни връзки или прикачени файлове са критични практики. Като бъдат предпазливи и проактивни, потребителите могат значително да намалят риска да станат жертва на заплахи като ERMAC 3.0.
