ERMAC V3.0銀行木馬

網路安全研究人員對安卓銀行木馬ERMAC 3.0進行了深入分析，揭示了其營運商基礎設施中存在的高階功能和關鍵漏洞。該惡意軟體代表著行動銀行威脅的顯著進步，其目標是廣泛的金融和數位平台。

從 Cerberus 到 ERMAC 3.0：惡意演化

ERMAC 於 2021 年 9 月首次被記錄，其根源在於臭名昭著的 Cerberus 和 BlackRock 家族。該惡意軟體由名為 DukeEugene 的威脅行為者開發，並已從早期的覆蓋攻擊穩步發展為複雜的惡意軟體即服務 (MaaS) 操作。

ERMAC 3.0 目前威脅著 700 多個應用程序，涵蓋銀行、購物和加密貨幣服務。其他惡意軟體，例如 Hook（ERMAC 2.0）、Pegasus 和 Loot，與 ERMAC 共享血統，借用並修改了其在後續版本中傳承下來的程式碼元件。

剖析惡意軟體工具包

研究人員發現了ERMAC 3.0的完整原始碼，揭示了其模組化結構。該工具包由幾個相互連接的組件組成，每個組件在進行大規模網路犯罪活動中都發揮關鍵作用：

後端 C2 伺服器– 使攻擊者能夠管理受感染的設備、檢索簡訊日誌、被盜憑證和設備資料。

前端面板－提供操作員介面來發出指令、部署覆蓋層和查看受損資訊。

Excluding Server－一款由 Golang 驅動的伺服器，專用於資料竊取和受損裝置管理。

ERMAC 後門——一種基於 Kotlin 的 Android 植入程序，能夠進行遠端控制、資料收集和逃避位於獨聯體國家的裝置。

ERMAC Builder－一種設定工具，透過自訂伺服器詳細資料和後門參數來自動建立惡意 APK。

ERMAC 3.0 的新功能

第三代 Trojan 病毒較前代產品進行了多項升級，包括：

• 用於竊取憑證的擴充表單注入技術。
• 重新設計的指揮與控制 (C2) 面板可簡化操作。
• 具有增強裝置操作功能的新型 Android 後門。

犯罪基礎設施的漏洞

儘管 ERMAC 3.0 功能增強，但它仍存在嚴重的操作失誤。研究人員發現了一些漏洞，包括硬編碼的 JWT 金鑰、靜態管理員持有者令牌、預設根憑證，甚至還有管理控制面板上不受限制的註冊。這些漏洞不僅凸顯了營運商糟糕的安全衛生狀況，也為試圖在實際活動中監控、偵測和破壞該木馬活動的防禦者提供了寶貴的切入點。

防範移動威脅

ERMAC 3.0 內部運作方式的曝光，提醒人們 Android 銀行木馬的日益複雜。儘管網路犯罪分子不斷改進其工具，但他們的錯誤仍然可能被安全團隊利用。對於日常用戶來說，保持警惕仍然是最有效的防線。僅安裝來自可靠來源的應用程式、持續更新裝置安全性修補程式、避免可疑連結或附件，這些都是至關重要的做法。透過保持謹慎和主動，使用者可以顯著降低成為 ERMAC 3.0 等威脅受害者的風險。