ERMAC V3.0 แบงกิ้งโทรจัน

นักวิจัยด้านความปลอดภัยไซเบอร์ได้วิเคราะห์ ERMAC 3.0 ซึ่งเป็นโทรจันธนาคารบนระบบปฏิบัติการแอนดรอยด์เวอร์ชันล่าสุด เผยให้เห็นทั้งความสามารถขั้นสูงและจุดอ่อนสำคัญในโครงสร้างพื้นฐานของผู้ให้บริการ มัลแวร์นี้ถือเป็นก้าวสำคัญในภัยคุกคามธนาคารบนมือถือ โดยมีเป้าหมายโจมตีแพลตฟอร์มทางการเงินและดิจิทัลหลากหลายประเภท

จาก Cerberus สู่ ERMAC 3.0: วิวัฒนาการอันเป็นอันตราย

ERMAC ได้รับการบันทึกครั้งแรกในเดือนกันยายน 2564 โดยมีรากฐานมาจากตระกูล Cerberus และ BlackRock อันโด่งดัง มัลแวร์นี้ถูกระบุว่าเป็นภัยคุกคามที่รู้จักกันในชื่อ DukeEugene และได้พัฒนาอย่างต่อเนื่องจากการโจมตีแบบซ้อนทับในช่วงแรกๆ ไปสู่การดำเนินการแบบมัลแวร์แบบบริการ (MaaS) ที่ซับซ้อน

ปัจจุบัน ERMAC 3.0 คุกคามแอปพลิเคชันมากกว่า 700 รายการ ครอบคลุมบริการธนาคาร ช้อปปิ้ง และสกุลเงินดิจิทัล มัลแวร์สายพันธุ์อื่นๆ เช่น Hook (ERMAC 2.0), Pegasus และ Loot ล้วนมีสายเลือดเดียวกันกับ ERMAC โดยยืมและแก้ไขส่วนประกอบของโค้ดที่สืบทอดต่อกันมาในเวอร์ชันต่อๆ มา

การวิเคราะห์ชุดเครื่องมือมัลแวร์

นักวิจัยได้เปิดเผยซอร์สโค้ดฉบับสมบูรณ์ของ ERMAC 3.0 ซึ่งเผยให้เห็นโครงสร้างแบบโมดูลาร์ ชุดเครื่องมือนี้ประกอบด้วยส่วนประกอบที่เชื่อมโยงกันหลายส่วน ซึ่งแต่ละส่วนมีบทบาทสำคัญในการดำเนินแคมเปญอาชญากรรมไซเบอร์ขนาดใหญ่:

เซิร์ฟเวอร์ Backend C2 ช่วยให้ผู้โจมตีสามารถจัดการอุปกรณ์ที่ติดไวรัส ดึงข้อมูลบันทึก SMS ข้อมูลรับรองที่ถูกขโมย และข้อมูลอุปกรณ์

แผงควบคุมส่วนหน้า – ให้อินเทอร์เฟซผู้ปฏิบัติงานเพื่อออกคำสั่ง ปรับใช้โอเวอร์เลย์ และดูข้อมูลที่ถูกบุกรุก

เซิร์ฟเวอร์การกรองข้อมูล – เซิร์ฟเวอร์ที่ขับเคลื่อนด้วย Golang ที่ได้รับการออกแบบมาเพื่อป้องกันการโจรกรรมข้อมูลและจัดการอุปกรณ์ที่ถูกบุกรุก

ERMAC Backdoor – อุปกรณ์ฝัง Android ที่ใช้ Kotlin ซึ่งสามารถควบคุมระยะไกล รวบรวมข้อมูล และหลบเลี่ยงอุปกรณ์ที่ตั้งอยู่ในประเทศ CIS

ERMAC Builder – เครื่องมือกำหนดค่าที่ทำให้การสร้าง APK ที่เป็นอันตรายเป็นแบบอัตโนมัติด้วยการปรับแต่งรายละเอียดเซิร์ฟเวอร์และพารามิเตอร์แบ็คดอร์

คุณสมบัติใหม่ใน ERMAC 3.0

โทรจันรุ่นที่สามนี้มาพร้อมกับการอัปเกรดหลายประการจากรุ่นก่อน ซึ่งรวมถึง:

• เทคนิคการฉีดแบบฟอร์มขยายสำหรับการขโมยข้อมูลประจำตัว
• แผงควบคุมและสั่งการ (C2) ที่ได้รับการออกแบบใหม่เพื่อการทำงานที่มีประสิทธิภาพมากขึ้น
• แบ็กดอร์ Android ใหม่พร้อมฟีเจอร์การจัดการอุปกรณ์ที่ได้รับการปรับปรุง

• การสื่อสารที่ปลอดภัยผ่านการเข้ารหัส AES-CBC

รอยร้าวในโครงสร้างพื้นฐานของอาชญากรรม

แม้จะมีความสามารถที่เพิ่มขึ้น แต่ ERMAC 3.0 กลับประสบปัญหาการดำเนินงานที่ผิดพลาดอย่างร้ายแรง นักวิจัยค้นพบข้อบกพร่องต่างๆ มากมาย รวมถึงรหัสลับ JWT แบบฮาร์ดโค้ด, โทเค็นผู้ถือผู้ดูแลระบบแบบคงที่, ข้อมูลรับรองรูทเริ่มต้น และแม้แต่การลงทะเบียนแบบไม่จำกัดบนแผงควบคุมผู้ดูแลระบบ จุดอ่อนเหล่านี้ไม่เพียงแต่ชี้ให้เห็นถึงความปลอดภัยที่ไม่ดีของผู้ปฏิบัติการเท่านั้น แต่ยังเป็นช่องทางสำคัญสำหรับฝ่ายป้องกันที่ต้องการตรวจสอบ ตรวจจับ และขัดขวางกิจกรรมของโทรจันในแคมเปญต่างๆ ที่เกิดขึ้นจริงอีกด้วย

การรักษาความปลอดภัยจากภัยคุกคามบนมือถือ

การเปิดเผยกลไกการทำงานภายในของ ERMAC 3.0 ถือเป็นเครื่องเตือนใจถึงความซับซ้อนที่เพิ่มมากขึ้นของโทรจันธนาคารบนระบบปฏิบัติการ Android แม้ว่าอาชญากรไซเบอร์จะยังคงพัฒนาเครื่องมือของตนอย่างต่อเนื่อง แต่ความผิดพลาดของพวกเขายังคงสามารถนำมาใช้ประโยชน์เพื่อประโยชน์ของทีมรักษาความปลอดภัยได้ สำหรับผู้ใช้ทั่วไป การเฝ้าระวังยังคงเป็นแนวป้องกันที่มีประสิทธิภาพที่สุด การติดตั้งแอปพลิเคชันจากแหล่งที่เชื่อถือได้เท่านั้น การอัปเดตอุปกรณ์ด้วยแพตช์ความปลอดภัยล่าสุด และการหลีกเลี่ยงลิงก์หรือไฟล์แนบที่น่าสงสัย ล้วนเป็นแนวปฏิบัติที่สำคัญยิ่ง การระมัดระวังและดำเนินการเชิงรุกจะช่วยให้ผู้ใช้ลดความเสี่ยงในการตกเป็นเหยื่อของภัยคุกคามอย่าง ERMAC 3.0 ได้อย่างมาก