Trojan bancário ERMAC V3.0
Pesquisadores de segurança cibernética dissecaram o ERMAC 3.0, a mais recente versão de um trojan bancário para Android, revelando tanto recursos avançados quanto vulnerabilidades críticas na infraestrutura de suas operadoras. Este malware representa um avanço significativo nas ameaças bancárias móveis, visando uma ampla gama de plataformas financeiras e digitais.
Índice
De Cerberus a ERMAC 3.0: Uma evolução maliciosa
Documentado pela primeira vez em setembro de 2021, o ERMAC tem suas raízes nas infames famílias Cerberus e BlackRock. O malware é atribuído a um agente de ameaças conhecido como DukeEugene e evoluiu constantemente de ataques de sobreposição iniciais para uma sofisticada operação de malware como serviço (MaaS).
O ERMAC 3.0 agora ameaça mais de 700 aplicações, abrangendo serviços bancários, de compras e de criptomoedas. Outras cepas de malware, como Hook (ERMAC 2.0), Pegasus e Loot, compartilham a linhagem com o ERMAC, pegando emprestado e modificando componentes de código transmitidos por versões sucessivas.
Dissecando o kit de ferramentas de malware
Pesquisadores descobriram o código-fonte completo do ERMAC 3.0, expondo sua estrutura modular. O kit de ferramentas compreende vários componentes interconectados, cada um desempenhando um papel crucial na execução de campanhas de crimes cibernéticos em larga escala:
Servidor C2 de backend – Permite que invasores gerenciem dispositivos infectados, recuperem logs de SMS, credenciais roubadas e dados de dispositivos.
Painel Frontend – Fornece uma interface de operador para emitir comandos, implantar sobreposições e visualizar informações comprometidas.
Exfiltration Server – Um servidor com tecnologia Golang dedicado ao roubo de dados e gerenciamento de dispositivos comprometidos.
ERMAC Backdoor – Um implante Android baseado em Kotlin capaz de controlar remotamente, coletar dados e evadir dispositivos localizados em países da CEI.
ERMAC Builder – Uma ferramenta de configuração que automatiza a criação de APKs maliciosos personalizando detalhes do servidor e parâmetros de backdoor.
Novos recursos no ERMAC 3.0
O Trojan de terceira geração apresenta diversas melhorias em relação aos seus antecessores. Entre elas:
- Técnicas de injeção de formulário expandido para roubo de credenciais.
- Um painel de comando e controle (C2) redesenhado para operações simplificadas.
- Um novo backdoor do Android com recursos aprimorados de manipulação de dispositivos.
- Comunicações seguras via criptografia AES-CBC.
Rachaduras na infraestrutura criminosa
Apesar de seus recursos aprimorados, o ERMAC 3.0 sofre de graves falhas operacionais. Pesquisadores descobriram falhas, incluindo um segredo JWT codificado, um token de administrador estático, credenciais de root padrão e até mesmo registro irrestrito no painel de controle do administrador. Essas fragilidades evidenciam não apenas a precária higiene de segurança dos operadores, mas também fornecem valiosos pontos de entrada para defensores que buscam monitorar, detectar e interromper a atividade do trojan em campanhas do mundo real.
Mantendo-se seguro contra ameaças móveis
A exposição do funcionamento interno do ERMAC 3.0 serve como um lembrete da crescente sofisticação dos trojans bancários para Android. Embora os cibercriminosos continuem aprimorando suas ferramentas, seus erros ainda podem ser aproveitados em benefício das equipes de segurança. Para usuários comuns, manter a vigilância continua sendo a linha de defesa mais eficaz. Instalar aplicativos apenas de fontes confiáveis, manter os dispositivos atualizados com os patches de segurança mais recentes e evitar links ou anexos suspeitos são práticas essenciais. Ao se manterem cautelosos e proativos, os usuários podem reduzir significativamente o risco de serem vítimas de ameaças como o ERMAC 3.0.
