Банкарски тројански кон ERMAC V3.0
Истраживачи сајбер безбедности анализирали су ERMAC 3.0, најновију верзију тројанског коња за Андроид банкарство, откривајући и напредне могућности и критичне слабости у инфраструктури његових оператера. Овај малвер представља значајан корак напред у претњама мобилног банкарства, циљајући широк спектар финансијских и дигиталних платформи.
Преглед садржаја
Од Цербера до ERMAC 3.0: Злонамерна еволуција
Први пут документован у септембру 2021. године, ERMAC вуче корене из озлоглашених породица Cerberus и BlackRock. Злонамерни софтвер се приписује претњи познатој као DukeEugene и постепено се развијао од раних напада преко преклапања до софистицираног рада злонамерног софтвера као услуге (MaaS).
ERMAC 3.0 сада угрожава преко 700 апликација, обухватајући банкарство, куповину и услуге криптовалута. Други сојеви малвера, као што су Hook (ERMAC 2.0), Pegasus и Loot, деле порекло са ERMAC-ом, позајмљујући и модификујући компоненте кода које су се преносиле кроз узастопне верзије.
Анализирање комплета алата за злонамерни софтвер
Истраживачи су открили комплетан изворни код ERMAC 3.0, откривајући његову модуларну структуру. Комплет алата се састоји од неколико међусобно повезаних компоненти, од којих свака игра кључну улогу у вођењу великих кампања против сајбер криминала:
Бакенд C2 сервер – Омогућава нападачима да управљају зараженим уређајима, преузимају СМС логове, украдене акредитиве и податке о уређају.
Фронтенд панел – Пружа оператерски интерфејс за издавање команди, постављање преклапања и преглед угрожених информација.
Сервер за ексфилтрацију – Сервер који покреће Golang, посвећен крађи података и управљању угроженим уређајима.
ERMAC Backdoor – Андроид имплант базиран на Kotlin-у, способан за даљинско управљање, прикупљање података и избегавање уређаја који се налазе у земљама ЗНД-а.
ERMAC Builder – Алат за конфигурацију који аутоматизује креирање злонамерних APK-ова прилагођавањем детаља сервера и параметара задњих врата.
Нове функције у ERMAC-у 3.0
Тројански вирус треће генерације уводи неколико надоградњи у односу на своје претходнике. То укључује:
- Проширене технике убризгавања образаца за крађу акредитива.
- Редизајнирана контролна табла (C2) за поједностављене операције.
- Нови Андроид бекдор са побољшаним функцијама за манипулацију уређајем.
- Безбедна комуникација путем AES-CBC енкрипције.
Пукотине у криминалној инфраструктури
Упркос својим побољшаним могућностима, ERMAC 3.0 пати од озбиљних оперативних грешака. Истраживачи су открили недостатке, укључујући чврсто кодирану JWT тајну, статички администраторски токен носиоца, подразумеване root акредитиве, па чак и неограничену регистрацију на администраторској контролној табли. Ове слабости не само да истичу лошу безбедносну хигијену оператера, већ и пружају вредне улазне тачке за браниоце који желе да прате, открију и ометају активности тројанца у стварним кампањама.
Заштита од мобилних претњи
Откривање унутрашњег рада ERMAC 3.0 служи као подсетник на све већу софистицираност тројанских коња за Андроид банкарство. Док сајбер криминалци настављају да усавршавају своје алате, њихове грешке и даље могу бити искоришћене у корист безбедносних тимова. За свакодневне кориснике, одржавање будности остаје најефикаснија линија одбране. Инсталирање апликација само из поузданих извора, ажурирање уређаја најновијим безбедносним закрпама и избегавање сумњивих линкова или прилога су све кључне праксе. Остајући опрезни и проактивни, корисници могу значајно смањити ризик да постану жртве претњи попут ERMAC 3.0.
