Trojan Bankar ERMAC V3.0
Studiuesit e sigurisë kibernetike kanë analizuar ERMAC 3.0, versionin më të fundit të një trojan-i bankar për Android, duke zbuluar si aftësi të përparuara ashtu edhe dobësi kritike në infrastrukturën e operatorëve të tij. Ky program keqdashës përfaqëson një hap të dukshëm përpara në kërcënimet e bankave mobile, duke synuar një gamë të gjerë platformash financiare dhe dixhitale.
Tabela e Përmbajtjes
Nga Cerberus në ERMAC 3.0: Një Evolucion i Dëmshëm
I dokumentuar për herë të parë në shtator 2021, ERMAC ka rrënjët e tij në familjet famëkeqe Cerberus dhe BlackRock. Malware i atribuohet një aktori kërcënimi të njohur si DukeEugene dhe ka evoluar vazhdimisht nga sulmet e hershme të mbivendosjes në një operacion të sofistikuar malware-as-a-service (MaaS).
ERMAC 3.0 tani kërcënon mbi 700 aplikacione, që përfshijnë shërbime bankare, blerjesh dhe kriptomonedhash. Lloje të tjera të malware-it, të tilla si Hook (ERMAC 2.0), Pegasus dhe Loot, ndajnë prejardhjen me ERMAC, duke huazuar dhe modifikuar komponentë kodi të transmetuar nëpër versione të njëpasnjëshme.
Analiza e Toolkit të Malware-it
Studiuesit zbuluan kodin burimor të plotë të ERMAC 3.0, duke ekspozuar strukturën e tij modulare. Seti i mjeteve përfshin disa komponentë të ndërlidhur, secili prej të cilëve luan një rol kritik në drejtimin e fushatave të krimit kibernetik në shkallë të gjerë:
Serveri Backend C2 – U mundëson sulmuesve të menaxhojnë pajisjet e infektuara, të marrin regjistrat e SMS-ve, kredencialet e vjedhura dhe të dhënat e pajisjes.
Paneli i Frontend – Ofron një ndërfaqe operatori për të lëshuar komanda, për të vendosur mbivendosje dhe për të parë informacionin e kompromentuar.
Serveri i Ekfiltrimit – Një server i mundësuar nga Golang i dedikuar për vjedhjen e të dhënave dhe menaxhimin e pajisjeve të kompromentuara.
ERMAC Backdoor – Një implant Android i bazuar në Kotlin i aftë për kontroll në distancë, mbledhje të dhënash dhe shmangie të pajisjeve të vendosura në vendet e CIS.
Ndërtuesi ERMAC – Një mjet konfigurimi që automatizon krijimin e APK-ve keqdashëse duke personalizuar detajet e serverit dhe parametrat e derës së pasme.
Karakteristika të reja në ERMAC 3.0
Trojan i gjeneratës së tretë prezanton disa përmirësime në krahasim me paraardhësit e tij. Këto përfshijnë:
- Teknika të zgjeruara të injektimit të formularëve për vjedhjen e kredencialeve.
- Një panel i ridizajnuar i Komandës dhe Kontrollit (C2) për operacione të efektshme.
- Një derë e re e pasme për Android me veçori të përmirësuara të manipulimit të pajisjeve.
- Komunikime të sigurta nëpërmjet enkriptimit AES-CBC.
Çarje në infrastrukturën kriminale
Pavarësisht aftësive të tij të përmirësuara, ERMAC 3.0 vuan nga gabime serioze operative. Studiuesit zbuluan të meta, duke përfshirë një sekret JWT të koduar fort, një token statik të bartësit të administratorit, kredencialet e parazgjedhura të rrënjës dhe madje edhe regjistrimin e pakufizuar në panelin e kontrollit të administratorit. Këto dobësi nxjerrin në pah jo vetëm higjienën e dobët të sigurisë së operatorëve, por gjithashtu ofrojnë pika hyrjeje të vlefshme për mbrojtësit që kërkojnë të monitorojnë, zbulojnë dhe ndërpresin aktivitetin e trojanit në fushatat e botës reale.
Të qëndrosh i sigurt kundër kërcënimeve mobile
Ekspozimi i funksionimit të brendshëm të ERMAC 3.0 shërben si një kujtesë për sofistikimin në rritje të trojanëve bankarë në Android. Ndërsa kriminelët kibernetikë vazhdojnë të përsosin mjetet e tyre, gabimet e tyre mund të shfrytëzohen ende në avantazh të ekipeve të sigurisë. Për përdoruesit e përditshëm, ruajtja e vigjilencës mbetet linja më efektive e mbrojtjes. Instalimi i aplikacioneve vetëm nga burime të besueshme, mbajtja e pajisjeve të përditësuara me përditësimet më të fundit të sigurisë dhe shmangia e lidhjeve ose bashkëngjitjeve të dyshimta janë të gjitha praktika kritike. Duke qëndruar të kujdesshëm dhe proaktivë, përdoruesit mund ta zvogëlojnë ndjeshëm rrezikun e tyre për t'u bërë viktimë e kërcënimeve si ERMAC 3.0.
