Rabattoffert för flera licenser
Hotdatabas Mobil skadlig programvara ERMAC V3.0 Banktrojan

ERMAC V3.0 Banktrojan

Med Mezo år Mobil skadlig programvara, Banktrojan
Översätt till:

Cybersäkerhetsforskare har analyserat ERMAC 3.0, den senaste versionen av en Android-banktrojan, och avslöjat både avancerade funktioner och kritiska svagheter i operatörernas infrastruktur. Denna skadliga kod representerar ett anmärkningsvärt steg framåt inom hot mot mobilbanker och riktar sig mot en mängd olika finansiella och digitala plattformar.

Från Cerberus till ERMAC 3.0: En illvillig utveckling

ERMAC dokumenterades först i september 2021 och har sina rötter i de ökända familjerna Cerberus och BlackRock. Skadlig programvara tillskrivs en hotbildare känd som DukeEugene och har stadigt utvecklats från tidiga overlay-attacker till en sofistikerad MaaS-operation (malware-as-a-service).

ERMAC 3.0 hotar nu över 700 applikationer, som omfattar bank-, shopping- och kryptovalutatjänster. Andra skadliga program, som Hook (ERMAC 2.0), Pegasus och Loot, delar härstamning med ERMAC och lånar och modifierar kodkomponenter som har förts vidare genom successiva versioner.

Analysera verktygslådan för skadlig kod

Forskare avslöjade den kompletta källkoden för ERMAC 3.0 och avslöjade dess modulära struktur. Verktygslådan består av flera sammankopplade komponenter, som var och en spelar en avgörande roll i att driva storskaliga cyberbrottskampanjer:

Backend C2-server – Gör det möjligt för angripare att hantera infekterade enheter, hämta SMS-loggar, stulna inloggningsuppgifter och enhetsdata.

Frontend-panel – Ger ett operatörsgränssnitt för att utfärda kommandon, distribuera överlägg och visa komprometterad information.

Exfiltration Server – En Golang-driven server dedikerad till datastöld och hantering av komprometterade enheter.

ERMAC Backdoor – Ett Kotlin-baserat Android-implantat som kan fjärrstyra, samla in data och undvika enheter i OSS-länder.

ERMAC Builder – Ett konfigurationsverktyg som automatiserar skapandet av skadliga APK:er genom att anpassa serverdetaljer och bakdörrsparametrar.

Nya funktioner i ERMAC 3.0

Tredje generationens trojan introducerar flera uppgraderingar jämfört med sina föregångare. Dessa inkluderar:

  • Utökade formulärinjektionstekniker för stöld av autentiseringsuppgifter.
  • En omdesignad kommando- och kontrollpanel (C2) för effektiviserad drift.
  • En ny Android-bakdörr med förbättrade funktioner för enhetsmanipulation.
  • Säker kommunikation via AES-CBC-kryptering.

Sprickor i den kriminella infrastrukturen

Trots sina förbättrade funktioner lider ERMAC 3.0 av allvarliga operativa misstag. Forskare upptäckte brister, inklusive en hårdkodad JWT-hemlighet, en statisk administratörsbärartoken, standardinloggningsuppgifter för root och till och med obegränsad registrering på administratörens kontrollpanel. Dessa svagheter belyser inte bara operatörernas dåliga säkerhetshygien utan ger också värdefulla ingångspunkter för försvarare som vill övervaka, upptäcka och störa trojanens aktivitet i verkliga kampanjer.

Håll dig säker mot mobila hot

Avslöjandet av ERMAC 3.0:s inre funktioner tjänar som en påminnelse om den växande sofistikeringen av Android-banktrojaner. Medan cyberbrottslingar fortsätter att förfina sina verktyg kan deras misstag fortfarande utnyttjas till säkerhetsteamens fördel. För vanliga användare är vaksamhet fortfarande den mest effektiva försvarslinjen. Att endast installera applikationer från betrodda källor, hålla enheter uppdaterade med de senaste säkerhetsuppdateringarna och undvika misstänkta länkar eller bilagor är alla viktiga metoder. Genom att vara försiktiga och proaktiva kan användare avsevärt minska risken för att bli offer för hot som ERMAC 3.0.

Trendigt

Mest sedda

Läser in...