Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό για κινητά Τραπεζικό Trojan ERMAC V3.0

Τραπεζικό Trojan ERMAC V3.0

Μέχρι το Mezo το Κακόβουλο λογισμικό για κινητά, Τραπεζικός Trojan
Μετάφραση σε:

Ερευνητές κυβερνοασφάλειας ανέλυσαν το ERMAC 3.0, την τελευταία έκδοση ενός trojan τραπεζικών συναλλαγών Android, αποκαλύπτοντας τόσο προηγμένες δυνατότητες όσο και κρίσιμες αδυναμίες στην υποδομή των χειριστών του. Αυτό το κακόβουλο λογισμικό αποτελεί ένα αξιοσημείωτο βήμα προόδου στις απειλές για κινητές τραπεζικές συναλλαγές, στοχεύοντας ένα ευρύ φάσμα χρηματοοικονομικών και ψηφιακών πλατφορμών.

Από τον Cerberus στον ERMAC 3.0: Μια κακόβουλη εξέλιξη

Το ERMAC, που καταγράφηκε για πρώτη φορά τον Σεπτέμβριο του 2021, έχει τις ρίζες του στις διαβόητες οικογένειες Cerberus και BlackRock. Το κακόβουλο λογισμικό αποδίδεται σε έναν απειλητικό παράγοντα γνωστό ως DukeEugene και έχει εξελιχθεί σταθερά από πρώιμες επιθέσεις επικάλυψης σε μια εξελιγμένη λειτουργία κακόβουλου λογισμικού ως υπηρεσίας (MaaS).

Το ERMAC 3.0 απειλεί πλέον πάνω από 700 εφαρμογές, που εκτείνονται σε τραπεζικές υπηρεσίες, αγορές και υπηρεσίες κρυπτονομισμάτων. Άλλα στελέχη κακόβουλου λογισμικού, όπως το Hook (ERMAC 2.0), το Pegasus και το Loot, μοιράζονται την ίδια γενεαλογία με το ERMAC, δανειζόμενοι και τροποποιώντας στοιχεία κώδικα που έχουν μεταβιβαστεί σε διαδοχικές εκδόσεις.

Αναλύοντας το Κιτ Εργαλείων για το Κακόβουλο Λογισμικό

Οι ερευνητές αποκάλυψαν τον πλήρη πηγαίο κώδικα του ERMAC 3.0, αποκαλύπτοντας την αρθρωτή δομή του. Το κιτ εργαλείων περιλαμβάνει πολλά διασυνδεδεμένα στοιχεία, καθένα από τα οποία διαδραματίζει κρίσιμο ρόλο στη διεξαγωγή μεγάλης κλίμακας εκστρατειών καταπολέμησης του κυβερνοεγκλήματος:

Διακομιστής Backend C2 – Επιτρέπει στους εισβολείς να διαχειρίζονται μολυσμένες συσκευές, να ανακτούν αρχεία καταγραφής SMS, κλεμμένα διαπιστευτήρια και δεδομένα συσκευών.

Πίνακας Frontend – Παρέχει μια διεπαφή χειριστή για την έκδοση εντολών, την ανάπτυξη επικαλύψεων και την προβολή παραβιασμένων πληροφοριών.

Διακομιστής Exfiltration – Ένας διακομιστής με την υποστήριξη της Golang, αφιερωμένος στην κλοπή δεδομένων και τη διαχείριση παραβιασμένων συσκευών.

ERMAC Backdoor – Ένα εμφύτευμα Android που βασίζεται στο Kotlin και είναι ικανό για τηλεχειρισμό, συλλογή δεδομένων και αποφυγή συσκευών που βρίσκονται σε χώρες της ΚΑΚ.

ERMAC Builder – Ένα εργαλείο διαμόρφωσης που αυτοματοποιεί τη δημιουργία κακόβουλων APK προσαρμόζοντας τις λεπτομέρειες του διακομιστή και τις παραμέτρους του backdoor.

Νέες δυνατότητες στο ERMAC 3.0

Το Trojan τρίτης γενιάς εισάγει αρκετές αναβαθμίσεις σε σχέση με τους προκατόχους του. Αυτές περιλαμβάνουν:

  • Εκτεταμένες τεχνικές εισαγωγής φόρμας για κλοπή διαπιστευτηρίων.
  • Ένας επανασχεδιασμένος πίνακας εντολών και ελέγχου (C2) για βελτιστοποιημένες λειτουργίες.
  • Ένα νέο backdoor για Android με βελτιωμένες δυνατότητες χειρισμού συσκευών.
  • Ασφαλείς επικοινωνίες μέσω κρυπτογράφησης AES-CBC.

Ρωγμές στην Εγκληματική Υποδομή

Παρά τις βελτιωμένες δυνατότητές του, το ERMAC 3.0 παρουσιάζει σοβαρά λειτουργικά λάθη. Οι ερευνητές αποκάλυψαν ελαττώματα, όπως ένα hardcoded JWT secret, ένα στατικό admin bearer token, προεπιλεγμένα root credentials, ακόμη και απεριόριστη εγγραφή στον πίνακα ελέγχου admin. Αυτές οι αδυναμίες υπογραμμίζουν όχι μόνο την κακή υγιεινή ασφαλείας των χειριστών, αλλά παρέχουν επίσης πολύτιμα σημεία εισόδου για τους υπερασπιστές που επιδιώκουν να παρακολουθούν, να ανιχνεύουν και να διαταράσσουν τη δραστηριότητα του trojan σε πραγματικές καμπάνιες.

Παραμένοντας ασφαλείς ενάντια σε απειλές για κινητά

Η αποκάλυψη των εσωτερικών λειτουργιών του ERMAC 3.0 χρησιμεύει ως υπενθύμιση της αυξανόμενης πολυπλοκότητας των trojan τραπεζικών εφαρμογών Android. Ενώ οι κυβερνοεγκληματίες συνεχίζουν να βελτιώνουν τα εργαλεία τους, τα λάθη τους μπορούν να αξιοποιηθούν προς όφελος των ομάδων ασφαλείας. Για τους καθημερινούς χρήστες, η διατήρηση της επαγρύπνησης παραμένει η πιο αποτελεσματική γραμμή άμυνας. Η εγκατάσταση εφαρμογών μόνο από αξιόπιστες πηγές, η ενημέρωση των συσκευών με τις πιο πρόσφατες ενημερώσεις ασφαλείας και η αποφυγή ύποπτων συνδέσμων ή συνημμένων είναι όλες κρίσιμες πρακτικές. Παραμένοντας προσεκτικοί και προληπτικοί, οι χρήστες μπορούν να μειώσουν σημαντικά τον κίνδυνο να πέσουν θύματα απειλών όπως το ERMAC 3.0.

Τάσεις

Απάτη μέσω email με αίτημα επικύρωσης λογαριασμού

Phishing, Ανεπιθύμητη αλληλογραφία
Οι κυβερνοεγκληματίες βελτιώνουν συνεχώς τις μεθόδους τους για να κλέβουν ευαίσθητες πληροφορίες και μια τέτοια τακτική περιλαμβάνει την δόλια απάτη μέσω email με τίτλο «Αίτημα Επικύρωσης Λογαριασμού». Αυτά τα παραπλανητικά μηνύματα δεν συνδέονται με καμία νόμιμη εταιρεία, πάροχο υπηρεσιών ή οργανισμό. Αντίθετα, στοχεύουν να εξαπατήσουν τους ανυποψίαστους χρήστες ώστε να δώσουν προσωπικά...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
36,069
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...