Trojan bancar ERMAC V3.0
Cercetătorii în domeniul cibernetic au analizat ERMAC 3.0, cea mai recentă versiune a unui troian bancar pentru Android, dezvăluind atât capabilități avansate, cât și puncte slabe critice în infrastructura operatorilor săi. Acest malware reprezintă un pas notabil înainte în ceea ce privește amenințările la adresa serviciilor bancare mobile, vizând o gamă largă de platforme financiare și digitale.
Cuprins
De la Cerberus la ERMAC 3.0: O evoluție malițioasă
Documentat pentru prima dată în septembrie 2021, ERMAC își are rădăcinile în celebrele familii Cerberus și BlackRock. Malware-ul este atribuit unui actor amenințător cunoscut sub numele de DukeEugene și a evoluat constant de la atacuri suprapuse timpurii la o operațiune sofisticată de tip malware-as-a-service (MaaS).
ERMAC 3.0 amenință acum peste 700 de aplicații, care acoperă servicii bancare, de cumpărături și criptomonede. Alte tulpini de malware, cum ar fi Hook (ERMAC 2.0), Pegasus și Loot, au aceeași linie cu ERMAC, împrumutând și modificând componente de cod transmise prin versiuni succesive.
Disectarea setului de instrumente pentru programe malware
Cercetătorii au descoperit codul sursă complet al ERMAC 3.0, expunând structura sa modulară. Setul de instrumente cuprinde mai multe componente interconectate, fiecare având un rol esențial în derularea campaniilor de criminalitate cibernetică la scară largă:
Server C2 backend – Permite atacatorilor să gestioneze dispozitivele infectate, să recupereze jurnalele SMS, datele de autentificare furate și datele dispozitivelor.
Panou frontal – Oferă o interfață pentru operator pentru emiterea comenzilor, implementarea suprapunerilor și vizualizarea informațiilor compromise.
Server de exfiltrare – Un server bazat pe Golang dedicat furtului de date și gestionării dispozitivelor compromise.
ERMAC Backdoor – Un implant Android bazat pe Kotlin capabil de control de la distanță, colectare de date și evitare a dispozitivelor situate în țările CSI.
ERMAC Builder – Un instrument de configurare care automatizează crearea de fișiere APK malițioase prin personalizarea detaliilor serverului și a parametrilor backdoor.
Noi caracteristici în ERMAC 3.0
Trojanul de a treia generație introduce mai multe îmbunătățiri față de predecesorii săi. Acestea includ:
- Tehnici extinse de injectare a formularelor pentru furtul de acreditări.
- Un panou de comandă și control (C2) reproiectat pentru operațiuni simplificate.
- O nouă backdoor Android cu funcții îmbunătățite de manipulare a dispozitivelor.
- Comunicații securizate prin criptare AES-CBC.
Fisuri în infrastructura criminală
În ciuda capacităților sale îmbunătățite, ERMAC 3.0 suferă de erori operaționale grave. Cercetătorii au descoperit defecte, inclusiv un secret JWT hardcoded, un token static de administrator, acreditări root implicite și chiar înregistrare nerestricționată pe panoul de control al administratorului. Aceste puncte slabe evidențiază nu numai igiena precară a securității operatorilor, ci oferă și puncte de intrare valoroase pentru apărătorii care doresc să monitorizeze, să detecteze și să perturbe activitatea troianului în campaniile din lumea reală.
Siguranță împotriva amenințărilor mobile
Dezvăluirea mecanismelor interne ale ERMAC 3.0 servește ca o reamintire a sofisticării tot mai mari a troienilor bancari Android. În timp ce infractorii cibernetici continuă să își perfecționeze instrumentele, greșelile lor pot fi încă valorificate în avantajul echipelor de securitate. Pentru utilizatorii de zi cu zi, menținerea vigilenței rămâne cea mai eficientă linie de apărare. Instalarea aplicațiilor numai din surse de încredere, menținerea dispozitivelor actualizate cu cele mai recente patch-uri de securitate și evitarea link-urilor sau atașamentelor suspecte sunt toate practici critice. Rămânând prudenți și proactivi, utilizatorii își pot reduce semnificativ riscul de a deveni victime ale unor amenințări precum ERMAC 3.0.
