Bančni trojanec ERMAC V3.0
Raziskovalci kibernetske varnosti so analizirali ERMAC 3.0, najnovejšo različico trojanskega konja za Android, in razkrili tako napredne zmogljivosti kot kritične slabosti v infrastrukturi njegovih operaterjev. Ta zlonamerna programska oprema predstavlja pomemben korak naprej na področju groženj mobilnega bančništva, saj cilja na širok spekter finančnih in digitalnih platform.
Kazalo
Od Cerberusa do ERMAC 3.0: Zlonamerna evolucija
Zlonamerna programska oprema ERMAC, ki je bila prvič dokumentirana septembra 2021, ima korenine v zloglasnih družinah Cerberus in BlackRock. Zlonamerna programska oprema je pripisana akterju grožnje, znanemu kot DukeEugene, in se je postopoma razvijala od zgodnjih prekrivnih napadov do sofisticirane operacije zlonamerne programske opreme kot storitve (MaaS).
ERMAC 3.0 zdaj ogroža več kot 700 aplikacij, ki segajo od bančništva, nakupovanja do storitev kriptovalut. Drugi sevi zlonamerne programske opreme, kot so Hook (ERMAC 2.0), Pegasus in Loot, si delijo rodovnik z ERMAC-om, saj si izposojajo in spreminjajo komponente kode, ki so se prenašale skozi zaporedne različice.
Analiziranje kompleta orodij za zlonamerno programsko opremo
Raziskovalci so odkrili celotno izvorno kodo programa ERMAC 3.0 in razkrili njegovo modularno strukturo. Komplet orodij je sestavljen iz več medsebojno povezanih komponent, od katerih ima vsaka ključno vlogo pri izvajanju obsežnih kampanj za boj proti kibernetski kriminaliteti:
Strežnik Backend C2 – Omogoča napadalcem upravljanje okuženih naprav, pridobivanje dnevnikov SMS-ov, ukradenih poverilnic in podatkov o napravah.
Sprednja plošča – Zagotavlja uporabniški vmesnik za izdajanje ukazov, nameščanje prekrivnih slojev in ogled ogroženih informacij.
Strežnik Exfiltration – Strežnik, ki ga poganja Golang, namenjen kraji podatkov in upravljanju ogroženih naprav.
ERMAC Backdoor – Androidni vsadek, ki temelji na Kotlinu in je sposoben daljinskega upravljanja, zbiranja podatkov in izogibanja napravam, ki se nahajajo v državah SND.
ERMAC Builder – Orodje za konfiguracijo, ki avtomatizira ustvarjanje zlonamernih APK-jev s prilagajanjem podrobnosti strežnika in parametrov zadnjih vrat.
Nove funkcije v ERMAC 3.0
Trojanec tretje generacije v primerjavi s svojimi predhodniki uvaja več nadgradenj. Te vključujejo:
- Razširjene tehnike vbrizgavanja obrazcev za krajo poverilnic.
- Prenovljena plošča za poveljevanje in nadzor (C2) za poenostavljeno delovanje.
- Nova zadnja vrata za Android z izboljšanimi funkcijami za manipulacijo naprav.
- Varna komunikacija prek šifriranja AES-CBC.
Razpoke v kriminalni infrastrukturi
Kljub izboljšanim zmogljivostim ERMAC 3.0 trpi zaradi resnih operativnih napak. Raziskovalci so odkrili pomanjkljivosti, vključno s trdo kodiranim tajnim ključem JWT, statičnim žetonom skrbniškega nosilca, privzetimi korenskimi poverilnicami in celo neomejeno registracijo na skrbniški nadzorni plošči. Te slabosti ne poudarjajo le slabe varnostne higiene operaterjev, temveč zagotavljajo tudi dragocene vstopne točke za branilce, ki želijo spremljati, odkrivati in motiti dejavnost trojanca v resničnih kampanjah.
Varnost pred mobilnimi grožnjami
Razkritje notranjega delovanja ERMAC 3.0 nas opominja na vse večjo prefinjenost trojanskih konjev za Android. Medtem ko kibernetski kriminalci še naprej izpopolnjujejo svoja orodja, lahko njihove napake še vedno izkoristijo v korist varnostnih ekip. Za vsakodnevne uporabnike ostaja budnost najučinkovitejša obrambna linija. Nameščanje aplikacij samo iz zaupanja vrednih virov, posodabljanje naprav z najnovejšimi varnostnimi popravki in izogibanje sumljivim povezavam ali prilogam so ključne prakse. Z ostajanjem previdnosti in proaktivnostjo lahko uporabniki znatno zmanjšajo tveganje, da postanejo žrtve groženj, kot je ERMAC 3.0.
