ERMAC V3.0 Banking Trojan

Ang mga mananaliksik sa cybersecurity ay na-dissect ang ERMAC 3.0, ang pinakabagong pag-ulit ng isang Android banking trojan, na nagpapakita ng parehong mga advanced na kakayahan at mga kritikal na kahinaan sa imprastraktura ng mga operator nito. Ang malware na ito ay kumakatawan sa isang kapansin-pansing hakbang pasulong sa mga banta sa mobile banking, na nagta-target ng malawak na hanay ng mga pinansyal at digital na platform.

Mula Cerberus hanggang ERMAC 3.0: Isang Nakakahamak na Ebolusyon

Unang naidokumento noong Setyembre 2021, ang ERMAC ay nag-ugat sa kilalang mga pamilyang Cerberus at BlackRock. Ang malware ay iniuugnay sa isang banta na aktor na kilala bilang DukeEugene at patuloy na nagbago mula sa maagang pag-atake sa overlay patungo sa isang sopistikadong operasyon ng malware-as-a-service (MaaS).

Ang ERMAC 3.0 ay nagbabanta na ngayon sa higit sa 700 mga aplikasyon, na sumasaklaw sa mga serbisyo sa pagbabangko, pamimili, at cryptocurrency. Ang iba pang mga strain ng malware, gaya ng Hook (ERMAC 2.0), Pegasus, at Loot, ay nagbabahagi ng lineage sa ERMAC, paghiram at pagbabago ng mga bahagi ng code na ipinasa sa sunud-sunod na mga bersyon.

Pag-dissect sa Malware Toolkit

Natuklasan ng mga mananaliksik ang kumpletong source code ng ERMAC 3.0, na inilalantad ang modular na istraktura nito. Binubuo ang toolkit ng ilang magkakaugnay na bahagi, bawat isa ay nagsisilbi ng mahalagang papel sa pagpapatakbo ng malakihang cybercrime na mga kampanya:

Backend C2 Server – Nagbibigay-daan sa mga umaatake na pamahalaan ang mga nahawaang device, kunin ang mga SMS log, ninakaw na kredensyal, at data ng device.

Frontend Panel – Nagbibigay ng interface ng operator para mag-isyu ng mga command, mag-deploy ng mga overlay, at tingnan ang nakompromisong impormasyon.

Exfiltration Server – Isang server na pinapagana ng Golang na nakatuon sa pagnanakaw ng data at nakompromisong pamamahala ng device.

ERMAC Backdoor – Isang Android implant na nakabase sa Kotlin na may kakayahang remote control, pangongolekta ng data, at pag-iwas sa mga device na matatagpuan sa mga bansa ng CIS.

ERMAC Builder – Isang tool sa pagsasaayos na nag-automate sa paggawa ng mga nakakahamak na APK sa pamamagitan ng pag-customize ng mga detalye ng server at mga parameter sa backdoor.

Mga Bagong Tampok sa ERMAC 3.0

Ang ikatlong henerasyong Trojan ay nagpapakilala ng ilang mga pag-upgrade sa mga nauna nito. Kabilang dito ang:

• Mga pinalawak na pamamaraan ng pag-iniksyon ng form para sa pagnanakaw ng kredensyal.
• Isang muling idinisenyong Command-and-Control (C2) panel para sa mga streamline na operasyon.
• Isang bagong backdoor ng Android na may mga pinahusay na feature sa pagmamanipula ng device.

• Mga secure na komunikasyon sa pamamagitan ng AES-CBC encryption.

Mga Bitak sa Imprastraktura ng Kriminal

Sa kabila ng mga pinahusay na kakayahan nito, ang ERMAC 3.0 ay dumaranas ng malubhang maling hakbang sa pagpapatakbo. Natuklasan ng mga mananaliksik ang mga depekto, kabilang ang isang hardcoded JWT secret, isang static na admin bearer token, mga default na root credential, at kahit na hindi pinaghihigpitang pagpaparehistro sa admin control panel. Binibigyang-diin ng mga kahinaang ito hindi lamang ang mahinang seguridad sa kalinisan ng mga operator ngunit nagbibigay din ng mahalagang mga entry point para sa mga tagapagtanggol na naglalayong subaybayan, tuklasin, at guluhin ang aktibidad ng trojan sa mga totoong kampanya sa mundo.

Pananatiling Ligtas Laban sa Mga Banta sa Mobile

Ang pagkakalantad ng mga panloob na gawain ng ERMAC 3.0 ay nagsisilbing paalala ng lumalagong pagiging sopistikado ng mga Android banking trojan. Habang patuloy na pinipino ng mga cybercriminal ang kanilang mga tool, maaari pa ring gamitin ang kanilang mga pagkakamali sa kalamangan ng mga security team. Para sa mga pang-araw-araw na gumagamit, ang pagpapanatili ng pagbabantay ay nananatiling pinakamabisang linya ng depensa. Ang pag-install lang ng mga application mula sa mga pinagkakatiwalaang source, pagpapanatiling updated sa mga device gamit ang pinakabagong mga patch ng seguridad, at pag-iwas sa mga kahina-hinalang link o attachment ay lahat ng kritikal na kasanayan. Sa pamamagitan ng pananatiling maingat at maagap, ang mga user ay maaaring makabuluhang bawasan ang kanilang panganib na mabiktima ng mga banta tulad ng ERMAC 3.0.