Trojan ngân hàng ERMAC V3.0
Các nhà nghiên cứu an ninh mạng đã phân tích ERMAC 3.0, phiên bản mới nhất của trojan ngân hàng Android, cho thấy cả những khả năng tiên tiến lẫn những điểm yếu nghiêm trọng trong cơ sở hạ tầng của nhà điều hành. Phần mềm độc hại này là một bước tiến đáng chú ý trong các mối đe dọa ngân hàng di động, nhắm vào một loạt các nền tảng tài chính và kỹ thuật số.
Mục lục
Từ Cerberus đến ERMAC 3.0: Một sự tiến hóa độc hại
Được ghi nhận lần đầu vào tháng 9 năm 2021, ERMAC có nguồn gốc từ các họ mã độc khét tiếng Cerberus và BlackRock. Phần mềm độc hại này được cho là do một tác nhân đe dọa có tên là DukeEugene tạo ra và đã liên tục phát triển từ các cuộc tấn công lớp phủ ban đầu thành một hoạt động mã độc dưới dạng dịch vụ (MaaS) tinh vi.
ERMAC 3.0 hiện đang đe dọa hơn 700 ứng dụng, bao gồm các dịch vụ ngân hàng, mua sắm và tiền điện tử. Các chủng phần mềm độc hại khác, chẳng hạn như Hook (ERMAC 2.0), Pegasus và Loot, có chung nguồn gốc với ERMAC, vay mượn và sửa đổi các thành phần mã được truyền qua các phiên bản kế tiếp.
Phân tích bộ công cụ phần mềm độc hại
Các nhà nghiên cứu đã phát hiện ra mã nguồn đầy đủ của ERMAC 3.0, hé lộ cấu trúc mô-đun của nó. Bộ công cụ bao gồm một số thành phần được kết nối với nhau, mỗi thành phần đóng vai trò quan trọng trong việc triển khai các chiến dịch tội phạm mạng quy mô lớn:
Máy chủ C2 phía sau – Cho phép kẻ tấn công quản lý các thiết bị bị nhiễm, truy xuất nhật ký SMS, thông tin đăng nhập bị đánh cắp và dữ liệu thiết bị.
Bảng điều khiển phía trước – Cung cấp giao diện người dùng để đưa ra lệnh, triển khai lớp phủ và xem thông tin bị xâm phạm.
Exfiltration Server – Máy chủ chạy bằng Golang chuyên dùng để đánh cắp dữ liệu và quản lý thiết bị bị xâm phạm.
ERMAC Backdoor – Một phần mềm Android dựa trên Kotlin có khả năng điều khiển từ xa, thu thập dữ liệu và tránh các thiết bị ở các quốc gia CIS.
ERMAC Builder – Công cụ cấu hình tự động tạo APK độc hại bằng cách tùy chỉnh thông tin chi tiết về máy chủ và các tham số cửa hậu.
Các tính năng mới trong ERMAC 3.0
Trojan thế hệ thứ ba có một số cải tiến so với các phiên bản trước, bao gồm:
- Kỹ thuật tiêm mã mở rộng để đánh cắp thông tin xác thực.
- Bảng điều khiển Command-and-Control (C2) được thiết kế lại để vận hành hợp lý hơn.
- Một cửa hậu Android mới với các tính năng điều khiển thiết bị được cải tiến.
- Truyền thông an toàn thông qua mã hóa AES-CBC.
Những vết nứt trong cơ sở hạ tầng tội phạm
Mặc dù có nhiều khả năng được cải tiến, ERMAC 3.0 vẫn mắc phải những sai sót nghiêm trọng trong vận hành. Các nhà nghiên cứu đã phát hiện ra các lỗ hổng, bao gồm mật khẩu JWT được mã hóa cứng, mã thông báo người mang quản trị tĩnh, thông tin đăng nhập gốc mặc định, và thậm chí cả việc đăng ký không giới hạn trên bảng điều khiển quản trị. Những điểm yếu này không chỉ làm nổi bật tình trạng bảo mật kém của các nhà điều hành mà còn cung cấp các điểm vào có giá trị cho những người bảo vệ muốn theo dõi, phát hiện và ngăn chặn hoạt động của trojan trong các chiến dịch thực tế.
Giữ an toàn trước các mối đe dọa di động
Việc phơi bày hoạt động bên trong của ERMAC 3.0 là lời nhắc nhở về sự tinh vi ngày càng tăng của trojan ngân hàng Android. Mặc dù tội phạm mạng tiếp tục tinh chỉnh các công cụ của chúng, nhưng những sai lầm của chúng vẫn có thể được sử dụng để mang lại lợi thế cho các nhóm bảo mật. Đối với người dùng thông thường, duy trì cảnh giác vẫn là biện pháp phòng thủ hiệu quả nhất. Chỉ cài đặt ứng dụng từ các nguồn đáng tin cậy, cập nhật thiết bị với các bản vá bảo mật mới nhất và tránh các liên kết hoặc tệp đính kèm đáng ngờ đều là những biện pháp quan trọng. Bằng cách luôn thận trọng và chủ động, người dùng có thể giảm đáng kể nguy cơ trở thành nạn nhân của các mối đe dọa như ERMAC 3.0.
