ERMAC V3.0 Bankacılık Truva Atı
Siber güvenlik araştırmacıları, Android bankacılık truva atının en son sürümü olan ERMAC 3.0'ı inceleyerek, operatörlerinin altyapısındaki gelişmiş yeteneklerin yanı sıra kritik zayıflıkları da ortaya çıkardı. Bu kötü amaçlı yazılım, çok çeşitli finansal ve dijital platformları hedef alarak mobil bankacılık tehditlerinde önemli bir ilerlemeyi temsil ediyor.
İçindekiler
Cerberus’tan ERMAC 3.0’a: Kötü Niyetli Bir Evrim
İlk olarak Eylül 2021'de belgelenen ERMAC'ın kökleri, kötü şöhretli Cerberus ve BlackRock ailelerine dayanmaktadır. Kötü amaçlı yazılım, DukeEugene adlı bir tehdit aktörüne atfedilmekte ve erken dönem katman saldırılarından, gelişmiş bir kötü amaçlı yazılım hizmeti (MaaS) operasyonuna doğru istikrarlı bir şekilde evrimleşmiştir.
ERMAC 3.0, bankacılık, alışveriş ve kripto para hizmetlerini kapsayan 700'den fazla uygulamayı tehdit ediyor. Hook (ERMAC 2.0), Pegasus ve Loot gibi diğer kötü amaçlı yazılım türleri de ERMAC ile aynı soyağacına sahip olup, ardışık sürümlerden geçen kod bileşenlerini ödünç alıp değiştiriyor.
Kötü Amaçlı Yazılım Araç Setinin İncelenmesi
Araştırmacılar, ERMAC 3.0'ın modüler yapısını ortaya çıkaran eksiksiz kaynak kodunu keşfettiler. Araç seti, her biri büyük ölçekli siber suç kampanyalarının yürütülmesinde kritik bir rol oynayan, birbiriyle bağlantılı birkaç bileşenden oluşuyor:
Arka Uç C2 Sunucusu – Saldırganların enfekte cihazları yönetmesini, SMS kayıtlarını, çalınan kimlik bilgilerini ve cihaz verilerini almasını sağlar.
Ön Uç Paneli – Komutları vermek, katmanları dağıtmak ve tehlikeye atılmış bilgileri görüntülemek için bir operatör arayüzü sağlar.
Exfiltration Server – Veri hırsızlığı ve tehlikeye atılmış cihaz yönetimine özel, Golang destekli bir sunucu.
ERMAC Backdoor – CIS ülkelerinde bulunan cihazları uzaktan kontrol etme, veri toplama ve bunlardan kaçma yeteneğine sahip Kotlin tabanlı bir Android implantı.
ERMAC Builder – Sunucu ayrıntılarını ve arka kapı parametrelerini özelleştirerek kötü amaçlı APK'ların oluşturulmasını otomatikleştiren bir yapılandırma aracıdır.
ERMAC 3.0’daki Yeni Özellikler
Üçüncü nesil Truva Atı, öncekilere göre çeşitli yükseltmeler sunuyor. Bunlar arasında şunlar yer alıyor:
- Kimlik bilgisi hırsızlığına karşı genişletilmiş form enjeksiyon teknikleri.
- Daha akıcı işlemler için yeniden tasarlanmış Komuta ve Kontrol (C2) paneli.
- Gelişmiş cihaz manipülasyon özelliklerine sahip yeni bir Android arka kapısı.
- AES-CBC şifrelemesi ile güvenli iletişim.
Suç Altyapısındaki Çatlaklar
Gelişmiş yeteneklerine rağmen, ERMAC 3.0 ciddi operasyonel hatalardan muzdariptir. Araştırmacılar, sabit kodlanmış bir JWT anahtarı, statik bir yönetici taşıyıcı belirteci, varsayılan kök kimlik bilgileri ve hatta yönetici kontrol panelinde sınırsız kayıt gibi kusurlar ortaya çıkardı. Bu zayıflıklar, yalnızca operatörlerin zayıf güvenlik hijyenini vurgulamakla kalmıyor, aynı zamanda gerçek dünyadaki saldırılarda Truva atının etkinliğini izlemek, tespit etmek ve engellemek isteyen savunmacılar için değerli giriş noktaları da sağlıyor.
Mobil Tehditlere Karşı Güvende Kalmak
ERMAC 3.0'ın iç işleyişinin açığa çıkması, Android bankacılık truva atlarının giderek daha karmaşık hale geldiğinin bir hatırlatıcısı niteliğinde. Siber suçlular araçlarını geliştirmeye devam ederken, hataları güvenlik ekiplerinin lehine kullanılabiliyor. Günlük kullanıcılar için tetikte olmak en etkili savunma hattı olmaya devam ediyor. Uygulamaları yalnızca güvenilir kaynaklardan yüklemek, cihazları en son güvenlik yamalarıyla güncel tutmak ve şüpheli bağlantı veya eklerden kaçınmak kritik öneme sahip uygulamalardır. Kullanıcılar dikkatli ve proaktif davranarak, ERMAC 3.0 gibi tehditlere kurban gitme risklerini önemli ölçüde azaltabilirler.
