ERMAC V3.0 -pankkitroijalainen
Kyberturvallisuustutkijat ovat analysoineet ERMAC 3.0:aa, Android-pankkitroijalaisen uusinta versiota, ja paljastaneet sekä sen edistyneitä ominaisuuksia että kriittisiä heikkouksia operaattorien infrastruktuurissa. Tämä haittaohjelma on merkittävä edistysaskel mobiilipankkiuhkien torjunnassa ja kohdistuu laajaan joukkoon rahoitus- ja digitaalisia alustoja.
Sisällysluettelo
Cerberuksesta ERMAC 3.0:aan: Haitallinen evoluutio
ERMAC dokumentoitiin ensimmäisen kerran syyskuussa 2021, ja sen juuret ovat pahamaineisissa Cerberus- ja BlackRock-ohjelmaperheissä. Haittaohjelman on katsottu olevan DukeEugene-nimisen uhkatoimijan tekemä, ja se on tasaisesti kehittynyt varhaisista päällekkäishyökkäyksistä hienostuneeksi haittaohjelmapalveluksi (MaaS).
ERMAC 3.0 uhkaa nyt yli 700 sovellusta, jotka kattavat pankki-, ostos- ja kryptovaluuttapalvelut. Muut haittaohjelmakannat, kuten Hook (ERMAC 2.0), Pegasus ja Loot, jakavat ERMACin kanssa saman perimän lainaten ja muokkaamalla peräkkäisistä versioista periytyviä koodikomponentteja.
Malware Toolkitin analysointi
Tutkijat paljastivat ERMAC 3.0:n koko lähdekoodin ja sen modulaarisen rakenteen. Työkalupakki koostuu useista toisiinsa kytkeytyvistä komponenteista, joilla kullakin on ratkaiseva rooli laajamittaisten kyberrikollisuuskampanjoiden toteuttamisessa:
Backend C2 -palvelin – Mahdollistaa hyökkääjien hallita tartunnan saaneita laitteita, hakea tekstiviestilokia, varastettuja tunnistetietoja ja laitetietoja.
Käyttöpaneeli – Tarjoaa käyttöliittymän komentojen antamiseen, päällekkäistiedostojen käyttöönottoon ja vaarantuneiden tietojen tarkasteluun.
Tietojen purkupalvelin – Golang-pohjainen palvelin, joka on tarkoitettu tietovarkauksiin ja vaarantuneiden laitteiden hallintaan.
ERMAC Backdoor – Kotlin-pohjainen Android-implantti, joka pystyy etäohjaamaan, keräämään tietoa ja kiertämään IVY-maissa sijaitsevia laitteita.
ERMAC Builder – Määritystyökalu, joka automatisoi haitallisten APK-tiedostojen luomisen mukauttamalla palvelimen tietoja ja takaportin parametreja.
ERMAC 3.0:n uudet ominaisuudet
Kolmannen sukupolven troijalainen tuo mukanaan useita parannuksia edeltäjiinsä verrattuna. Näitä ovat:
- Laajennetut lomakkeen injektiotekniikat valtakirjojen varastamiseen.
- Uudelleensuunniteltu komento- ja ohjauspaneeli (C2) virtaviivaistettua toimintaa varten.
- Uusi Android-takaovi parannetuilla laitemanipulaatio-ominaisuuksilla.
- Suojattu viestintä AES-CBC-salauksella.
Rikollisen infrastruktuurin halkeamat
Parannetuista ominaisuuksistaan huolimatta ERMAC 3.0 kärsii vakavista toiminnallisista virheistä. Tutkijat löysivät puutteita, kuten kovakoodatun JWT-salaisuuden, staattisen ylläpitäjän haltijan tunnuksen, oletusarvoiset pääkäyttäjän tunnistetiedot ja jopa rajoittamattoman rekisteröinnin ylläpitäjän ohjauspaneelissa. Nämä heikkoudet korostavat paitsi operaattoreiden heikkoa tietoturvahygieniaa, myös tarjoavat arvokkaita sisäänpääsykohtia puolustajille, jotka pyrkivät valvomaan, havaitsemaan ja häiritsemään troijalaisen toimintaa tosielämän kampanjoissa.
Suojautuminen mobiiliuhilta
ERMAC 3.0:n sisäisen toiminnan paljastuminen muistuttaa Android-pankkitroijalaisten kasvavasta kehittyneisyydestä. Vaikka kyberrikolliset jatkavat työkalujensa hiomista, heidän virheitään voidaan edelleen hyödyntää tietoturvatiimien eduksi. Tavallisille käyttäjille valppauden ylläpitäminen on edelleen tehokkain puolustuslinja. Sovellusten asentaminen vain luotettavista lähteistä, laitteiden pitäminen ajan tasalla uusimmilla tietoturvakorjauksilla ja epäilyttävien linkkien tai liitteiden välttäminen ovat kaikki kriittisiä käytäntöjä. Pysymällä varovaisina ja ennakoivina käyttäjät voivat merkittävästi vähentää riskiään joutua ERMAC 3.0:n kaltaisten uhkien uhriksi.
