ERMAC V3.0 pangandustrooja
Küberturvalisuse uurijad on analüüsinud Androidi pangandustrooja uusimat versiooni ERMAC 3.0, paljastades nii selle täiustatud võimekuse kui ka kriitilised nõrkused operaatorite infrastruktuuris. See pahavara kujutab endast märkimisväärset sammu edasi mobiilipanganduse ohtude vallas, sihtides laia valikut finants- ja digitaalseid platvorme.
Sisukord
Cerberusest ERMAC 3.0-ni: pahatahtlik evolutsioon
Esmakordselt 2021. aasta septembris dokumenteeritud ERMACi juured on kurikuulsates Cerberuse ja BlackRocki perekondades. Pahavara omistatakse DukeEugene'i nimelisele ohutegijale ning see on järk-järgult arenenud varajastest pealiskaudsetest rünnakutest keerukaks pahavara-teenusena (MaaS) operatsiooniks.
ERMAC 3.0 ohustab nüüd üle 700 rakenduse, hõlmates pangandus-, ostlemis- ja krüptovaluutateenuseid. Teised pahavara tüved, näiteks Hook (ERMAC 2.0), Pegasus ja Loot, jagavad ERMACiga sarnast liini, laenates ja muutes järjestikuste versioonide kaudu edasi antud koodikomponente.
Pahavara tööriistakomplekti lahkamine
Teadlased paljastasid ERMAC 3.0 täieliku lähtekoodi, paljastades selle modulaarse struktuuri. Tööriistakomplekt koosneb mitmest omavahel ühendatud komponendist, millest igaühel on oluline roll ulatuslike küberkuritegevuse kampaaniate läbiviimisel:
Tagaserveri C2-server – võimaldab ründajatel hallata nakatunud seadmeid, hankida SMS-logisid, varastatud volitusi ja seadmeandmeid.
Esipaneel – Pakub operaatoriliidest käskude andmiseks, ülekatte juurutamiseks ja ohustatud teabe vaatamiseks.
Eksfiltratsiooniserver – Golangil põhinev server, mis on pühendatud andmevargustele ja ohustatud seadmete haldamisele.
ERMAC Backdoor – Kotlinil põhinev Androidi implantaat, mis on võimeline SRÜ riikides asuvaid seadmeid kaugjuhtimise teel juhtima, andmeid koguma ja neist kõrvale hiilima.
ERMAC Builder – konfiguratsioonitööriist, mis automatiseerib pahatahtlike APK-de loomise, kohandades serveri üksikasju ja tagaukse parameetreid.
ERMAC 3.0 uued funktsioonid
Kolmanda põlvkonna troojalane pakub oma eelkäijatega võrreldes mitmeid täiustusi. Nende hulka kuuluvad:
- Laiendatud vormi süstimise tehnikad volituste varguse korral.
- Ümberkujundatud juhtimis- ja kontrollpaneel (C2) sujuvamate operatsioonide jaoks.
- Uus Androidi tagauks täiustatud seadme manipuleerimise funktsioonidega.
- Turvaline side AES-CBC krüptimise abil.
Praod kriminaalses infrastruktuuris
Vaatamata täiustatud võimalustele kannatab ERMAC 3.0 tõsiste operatiivsete vigade all. Teadlased avastasid vigu, sealhulgas kõvakodeeritud JWT-salasõna, staatilise administraatori kandja tunnuse, vaikimisi juurkasutaja mandaadid ja isegi piiramatu registreerimise administraatori juhtpaneelil. Need nõrkused toovad esile mitte ainult operaatorite kehva turvahügieeni, vaid pakuvad ka väärtuslikke sisenemispunkte kaitsjatele, kes soovivad jälgida, tuvastada ja häirida trooja tegevust reaalsetes kampaaniates.
Mobiilsete ohtude eest kaitsmine
ERMAC 3.0 sisemise toimimise paljastamine tuletab meelde Androidi pangandustroojalaste kasvavat keerukust. Kuigi küberkurjategijad jätkavad oma tööriistade täiustamist, saavad turvameeskonnad nende vigu siiski ära kasutada. Igapäevaste kasutajate jaoks on valvsus endiselt kõige tõhusam kaitseliin. Rakenduste installimine ainult usaldusväärsetest allikatest, seadmete ajakohastamine uusimate turvapaikadega ja kahtlaste linkide või manuste vältimine on kõik kriitilise tähtsusega tavad. Ettevaatliku ja ennetava tegutsemisega saavad kasutajad oluliselt vähendada ohtu sattuda selliste ohtude ohvriks nagu ERMAC 3.0.
