Trojan bankowy ERMAC V3.0
Badacze cyberbezpieczeństwa przeanalizowali ERMAC 3.0, najnowszą wersję trojana bankowego na Androida, ujawniając zarówno zaawansowane możliwości, jak i krytyczne słabości w infrastrukturze jego operatorów. To złośliwe oprogramowanie stanowi znaczący krok naprzód w dziedzinie zagrożeń dla bankowości mobilnej, atakując szeroką gamę platform finansowych i cyfrowych.
Spis treści
Od Cerberusa do ERMAC 3.0: złośliwa ewolucja
Po raz pierwszy udokumentowany we wrześniu 2021 roku, ERMAC ma swoje korzenie w niesławnych rodzinach Cerberus i BlackRock. Szkodliwe oprogramowanie przypisuje się atakującemu o nazwie DukeEugene i stopniowo ewoluowało od wczesnych ataków typu overlay do zaawansowanego systemu typu malware-as-a-service (MaaS).
ERMAC 3.0 zagraża obecnie ponad 700 aplikacjom, obejmującym usługi bankowe, zakupy i kryptowaluty. Inne odmiany złośliwego oprogramowania, takie jak Hook (ERMAC 2.0), Pegasus i Loot, mają wspólne korzenie z ERMAC, zapożyczając i modyfikując komponenty kodu przekazywane w kolejnych wersjach.
Analiza zestawu narzędzi złośliwego oprogramowania
Badacze odkryli kompletny kod źródłowy ERMAC 3.0, ujawniając jego modułową strukturę. Zestaw narzędzi składa się z kilku powiązanych ze sobą komponentów, z których każdy odgrywa kluczową rolę w prowadzeniu kampanii cyberprzestępczych na dużą skalę:
Serwer Backend C2 – umożliwia atakującym zarządzanie zainfekowanymi urządzeniami, pobieranie dzienników SMS, skradzionych danych uwierzytelniających i danych urządzenia.
Panel użytkownika – udostępnia interfejs operatora umożliwiający wydawanie poleceń, wdrażanie nakładek i przeglądanie zagrożonych informacji.
Exfiltration Server – serwer oparty na języku Go, przeznaczony do kradzieży danych i zarządzania naruszonymi urządzeniami.
ERMAC Backdoor – implant dla Androida oparty na języku Kotlin, umożliwiający zdalne sterowanie, zbieranie danych i omijanie zabezpieczeń urządzeń znajdujących się w krajach WNP.
ERMAC Builder – narzędzie konfiguracyjne, które automatyzuje tworzenie złośliwych plików APK poprzez dostosowywanie szczegółów serwera i parametrów backdoora.
Nowe funkcje w ERMAC 3.0
Trojan trzeciej generacji wprowadza kilka ulepszeń w stosunku do swoich poprzedników. Należą do nich:
- Udoskonalone techniki włamywania się do formularzy w celu kradzieży danych uwierzytelniających.
- Zmodernizowany panel dowodzenia i kontroli (C2) zapewniający usprawnienie operacji.
- Nowy backdoor Androida z ulepszonymi funkcjami manipulowania urządzeniem.
- Bezpieczna komunikacja dzięki szyfrowaniu AES-CBC.
Pęknięcia w infrastrukturze przestępczej
Pomimo rozszerzonych możliwości, ERMAC 3.0 cierpi na poważne błędy operacyjne. Badacze odkryli luki, takie jak zakodowany na stałe sekret JWT, statyczny token administratora, domyślne dane uwierzytelniające roota, a nawet nieograniczona rejestracja w panelu administracyjnym. Słabości te uwypuklają nie tylko niski poziom bezpieczeństwa operatorów, ale także stanowią cenne punkty wejścia dla obrońców, którzy chcą monitorować, wykrywać i zakłócać aktywność trojana w rzeczywistych kampaniach.
Zachowaj bezpieczeństwo przed zagrożeniami mobilnymi
Ujawnienie wewnętrznych mechanizmów ERMAC 3.0 przypomina o rosnącym wyrafinowaniu trojanów bankowych na Androida. Chociaż cyberprzestępcy stale udoskonalają swoje narzędzia, ich błędy wciąż mogą być wykorzystywane z korzyścią dla zespołów ds. bezpieczeństwa. Dla przeciętnych użytkowników zachowanie czujności pozostaje najskuteczniejszą linią obrony. Instalowanie aplikacji wyłącznie z zaufanych źródeł, aktualizowanie urządzeń najnowszymi poprawkami bezpieczeństwa oraz unikanie podejrzanych linków i załączników to kluczowe praktyki. Zachowując ostrożność i proaktywność, użytkownicy mogą znacznie zmniejszyć ryzyko stania się ofiarą zagrożeń takich jak ERMAC 3.0.
