Trojan Perbankan ERMAC V3.0
Penyelidik keselamatan siber telah membedah ERMAC 3.0, lelaran terbaru trojan perbankan Android, mendedahkan kedua-dua keupayaan lanjutan dan kelemahan kritikal dalam infrastruktur pengendalinya. Perisian hasad ini mewakili satu langkah ke hadapan yang ketara dalam ancaman perbankan mudah alih, menyasarkan pelbagai platform kewangan dan digital.
Isi kandungan
Daripada Cerberus kepada ERMAC 3.0: Evolusi Berniat Hasad
Pertama kali didokumentasikan pada September 2021, ERMAC berakar umbi dalam keluarga Cerberus dan BlackRock yang terkenal. Perisian hasad dikaitkan dengan pelakon ancaman yang dikenali sebagai DukeEugene dan telah berkembang secara berterusan daripada serangan tindanan awal kepada operasi perisian hasad-sebagai-perkhidmatan (MaaS) yang canggih.
ERMAC 3.0 kini mengancam lebih 700 aplikasi, merangkumi perkhidmatan perbankan, membeli-belah dan mata wang kripto. Jenis malware lain, seperti Hook (ERMAC 2.0), Pegasus dan Loot, berkongsi keturunan dengan ERMAC, meminjam dan mengubah suai komponen kod yang diturunkan melalui versi berturut-turut.
Membongkar Kit Alat Perisian Hasad
Penyelidik menemui kod sumber lengkap ERMAC 3.0, mendedahkan struktur modularnya. Kit alat ini terdiri daripada beberapa komponen yang saling berkaitan, masing-masing memainkan peranan penting dalam menjalankan kempen jenayah siber berskala besar:
Pelayan C2 Bahagian Belakang – Membolehkan penyerang mengurus peranti yang dijangkiti, mendapatkan semula log SMS, bukti kelayakan yang dicuri dan data peranti.
Panel Hadapan – Menyediakan antara muka pengendali untuk mengeluarkan arahan, menggunakan tindanan dan melihat maklumat yang terjejas.
Pelayan Exfiltration – Pelayan berkuasa Golang khusus untuk kecurian data dan pengurusan peranti yang terjejas.
ERMAC Backdoor – Implan Android berasaskan Kotlin yang mampu mengawal jauh, pengumpulan data dan mengelak peranti yang terletak di negara CIS.
ERMAC Builder – Alat konfigurasi yang mengautomasikan penciptaan APK berniat jahat dengan menyesuaikan butiran pelayan dan parameter pintu belakang.
Ciri Baharu dalam ERMAC 3.0
Trojan generasi ketiga memperkenalkan beberapa peningkatan berbanding pendahulunya. Ini termasuk:
- Teknik suntikan borang yang diperluaskan untuk kecurian kelayakan.
- Panel Perintah-dan-Kawalan (C2) yang direka bentuk semula untuk operasi yang diperkemas.
- Pintu belakang Android baharu dengan ciri manipulasi peranti yang dipertingkatkan.
- Komunikasi selamat melalui penyulitan AES-CBC.
Keretakan dalam Infrastruktur Jenayah
Walaupun keupayaannya dipertingkatkan, ERMAC 3.0 mengalami kesilapan operasi yang serius. Penyelidik menemui kelemahan, termasuk rahsia JWT berkod keras, token pembawa pentadbir statik, kelayakan akar lalai, dan juga pendaftaran tanpa had pada panel kawalan pentadbir. Kelemahan ini menyerlahkan bukan sahaja kebersihan keselamatan pengendali yang lemah tetapi juga menyediakan pintu masuk yang berharga untuk pembela yang ingin memantau, mengesan dan mengganggu aktiviti trojan dalam kempen dunia sebenar.
Kekal Selamat Menentang Ancaman Mudah Alih
Pendedahan kerja dalaman ERMAC 3.0 berfungsi sebagai peringatan tentang kecanggihan trojan perbankan Android yang semakin meningkat. Walaupun penjenayah siber terus memperhalusi alat mereka, kesilapan mereka masih boleh dimanfaatkan untuk kelebihan pasukan keselamatan. Bagi pengguna harian, mengekalkan kewaspadaan kekal sebagai barisan pertahanan yang paling berkesan. Memasang aplikasi hanya daripada sumber yang dipercayai, memastikan peranti dikemas kini dengan tampung keselamatan terkini dan mengelakkan pautan atau lampiran yang mencurigakan adalah semua amalan kritikal. Dengan kekal berhati-hati dan proaktif, pengguna boleh mengurangkan risiko mereka menjadi mangsa ancaman seperti ERMAC 3.0 dengan ketara.
