Bankový trójsky kôň ERMAC V3.0
Výskumníci v oblasti kybernetickej bezpečnosti analyzovali ERMAC 3.0, najnovšiu verziu trójskeho koňa pre bankovníctvo pre systém Android, a odhalili pokročilé funkcie aj kritické slabiny v infraštruktúre jeho operátorov. Tento malvér predstavuje významný krok vpred v oblasti hrozieb pre mobilné bankovníctvo a zameriava sa na širokú škálu finančných a digitálnych platforiem.
Obsah
Od Cerberusu k ERMAC 3.0: Zlomyseľná evolúcia
Malvér ERMAC, prvýkrát zdokumentovaný v septembri 2021, má svoje korene v neslávne známych rodinách škodlivého softvéru Cerberus a BlackRock. Malvér sa pripisuje aktérovi hrozby známemu ako DukeEugene a postupne sa vyvinul z skorých overlay útokov na sofistikovanú operáciu malvéru ako služby (MaaS).
ERMAC 3.0 v súčasnosti ohrozuje viac ako 700 aplikácií, ktoré zahŕňajú bankovníctvo, nakupovanie a kryptomenové služby. Ďalšie kmene škodlivého softvéru, ako napríklad Hook (ERMAC 2.0), Pegasus a Loot, zdieľajú s ERMACom pôvod, požičiavajú si a upravujú komponenty kódu prenášané cez následné verzie.
Analýza sady nástrojov pre boj s malvérom
Výskumníci odhalili kompletný zdrojový kód ERMAC 3.0 a odhalili jeho modulárnu štruktúru. Sada nástrojov pozostáva z niekoľkých vzájomne prepojených komponentov, z ktorých každý zohráva kľúčovú úlohu pri vedení rozsiahlych kampaní proti kybernetickej kriminalite:
Backendový C2 server – Umožňuje útočníkom spravovať infikované zariadenia, získavať protokoly SMS správ, ukradnuté prihlasovacie údaje a údaje o zariadeniach.
Frontendový panel – Poskytuje rozhranie operátora na vydávanie príkazov, nasadzovanie prekrytí a zobrazovanie ohrozených informácií.
Exfiltration Server – Server s technológiou Golang určený na krádež dát a správu kompromitovaných zariadení.
ERMAC Backdoor – Android implantát založený na Kotline, ktorý je schopný diaľkovo ovládať, zhromažďovať údaje a obchádzať zariadenia nachádzajúce sa v krajinách SNŠ.
ERMAC Builder – konfiguračný nástroj, ktorý automatizuje vytváranie škodlivých súborov APK prispôsobením podrobností o serveri a parametrov zadných vrátok.
Nové funkcie v ERMAC 3.0
Trójsky kôň tretej generácie prináša oproti svojim predchodcom niekoľko vylepšení. Patria sem:
- Rozšírené techniky vkladania údajov do formulárov na účely krádeže poverení.
- Prepracovaný panel velenia a riadenia (C2) pre zefektívnenie operácií.
- Nové zadné vrátka pre Android s vylepšenými funkciami manipulácie so zariadeniami.
- Bezpečná komunikácia prostredníctvom šifrovania AES-CBC.
Trhliny v kriminálnej infraštruktúre
Napriek svojim vylepšeným možnostiam trpí ERMAC 3.0 vážnymi prevádzkovými chybami. Výskumníci odhalili nedostatky vrátane pevne zakódovaného tajného kľúča JWT, statického tokenu správcu, predvolených root prihlasovacích údajov a dokonca aj neobmedzenej registrácie na ovládacom paneli správcu. Tieto slabiny nielen poukazujú na nízku bezpečnostnú hygienu operátorov, ale poskytujú aj cenné vstupné body pre obrancov, ktorí sa snažia monitorovať, detekovať a narúšať aktivitu trójskeho koňa v reálnych kampaniach.
Bezpečnosť pred mobilnými hrozbami
Odhalenie vnútorného fungovania ERMAC 3.0 slúži ako pripomienka rastúcej sofistikovanosti bankových trójskych koní pre Android. Zatiaľ čo kyberzločinci neustále zdokonaľujú svoje nástroje, ich chyby môžu byť stále zneužité v prospech bezpečnostných tímov. Pre bežných používateľov zostáva ostražitosť najúčinnejšou obrannou líniou. Inštalácia aplikácií iba z dôveryhodných zdrojov, udržiavanie zariadení aktualizovaných najnovšími bezpečnostnými záplatami a vyhýbanie sa podozrivým odkazom alebo prílohám sú kľúčové postupy. Opatrnosťou a proaktívnosťou môžu používatelia výrazne znížiť riziko, že sa stanú obeťami hrozieb, ako je ERMAC 3.0.
