حصان طروادة المصرفي ERMAC V3.0

قام باحثو الأمن السيبراني بتحليل ERMAC 3.0، أحدث إصدار من حصان طروادة مصرفي يعمل بنظام أندرويد، كاشفين عن قدرات متقدمة ونقاط ضعف حرجة في البنية التحتية لمشغليه. يمثل هذا البرنامج الخبيث تقدمًا ملحوظًا في تهديدات الخدمات المصرفية عبر الهاتف المحمول، مستهدفًا مجموعة واسعة من المنصات المالية والرقمية.

من سيربيروس إلى إرماك 3.0: تطور خبيث

وُثِّق ERMAC لأول مرة في سبتمبر 2021، ويعود أصله إلى عائلتي Cerberus وBlackRock سيئتي السمعة. يُنسب هذا البرنامج الخبيث إلى جهة تهديد تُعرف باسم DukeEugene، وقد تطور تدريجيًا من هجمات تراكب مبكرة إلى عملية متطورة للبرامج الضارة كخدمة (MaaS).

يهدد ERMAC 3.0 الآن أكثر من 700 تطبيق، تشمل الخدمات المصرفية والتسوق والعملات المشفرة. سلالات أخرى من البرمجيات الخبيثة، مثل Hook (ERMAC 2.0) وPegasus وLoot، تشترك في نفس السلالة مع ERMAC، حيث تستعير وتعدّل مكونات برمجية متوارثة عبر الإصدارات المتتالية.

تحليل مجموعة أدوات البرامج الضارة

كشف الباحثون عن الشيفرة المصدرية الكاملة لبرنامج ERMAC 3.0، كاشفين عن بنيته المعيارية. تتألف مجموعة الأدوات من عدة مكونات مترابطة، يلعب كل منها دورًا محوريًا في إدارة حملات واسعة النطاق لمكافحة الجرائم الإلكترونية:

خادم Backend C2 – يتيح للمهاجمين إدارة الأجهزة المصابة، واسترداد سجلات الرسائل القصيرة، وبيانات الاعتماد المسروقة، وبيانات الجهاز.

لوحة الواجهة الأمامية – توفر واجهة للمشغل لإصدار الأوامر ونشر التراكبات وعرض المعلومات المعرضة للخطر.

خادم Exfiltration – خادم يعمل بنظام Golang مخصص لسرقة البيانات وإدارة الأجهزة المخترقة.

ERMAC Backdoor – غرسة Android تعتمد على Kotlin قادرة على التحكم عن بعد وجمع البيانات والتهرب من الأجهزة الموجودة في دول رابطة الدول المستقلة.

ERMAC Builder – أداة تكوين تقوم بأتمتة إنشاء ملفات APK الضارة عن طريق تخصيص تفاصيل الخادم ومعلمات الباب الخلفي.

الميزات الجديدة في ERMAC 3.0

يُقدّم الجيل الثالث من فيروسات طروادة العديد من الترقيات مقارنةً بسابقاتها. وتشمل هذه الترقيات:

• تقنيات حقن النموذج الموسع لسرقة بيانات الاعتماد.
• تم إعادة تصميم لوحة القيادة والتحكم (C2) لتبسيط العمليات.
• باب خلفي جديد لنظام Android مع ميزات محسّنة للتلاعب بالجهاز.

• اتصالات آمنة عبر تشفير AES-CBC.

الشقوق في البنية التحتية الإجرامية

على الرغم من إمكانياته المُحسّنة، يعاني ERMAC 3.0 من ثغرات تشغيلية خطيرة. كشف الباحثون عن ثغرات، منها سر JWT مُبرمج مسبقًا، ورمز ثابت لحامل بيانات المسؤول، وبيانات اعتماد الجذر الافتراضية، وحتى تسجيل غير مُقيّد في لوحة تحكم المسؤول. تُبرز هذه الثغرات ضعفَ الإجراءات الأمنية للمُشغّلين، كما تُوفر نقاط دخول قيّمة للمُدافعين الذين يسعون إلى مراقبة نشاط حصان طروادة وكشفه وتعطيله في الحملات الفعلية.

البقاء آمنًا ضد تهديدات الهاتف المحمول

يُذكرنا كشفُ أسرار ERMAC 3.0 بالتطور المتزايد لأحصنة طروادة المصرفية التي تستهدف أجهزة أندرويد. وبينما يواصل مجرمو الإنترنت تطوير أدواتهم، لا يزال من الممكن استغلال أخطائهم لصالح فرق الأمن. بالنسبة للمستخدمين العاديين، يبقى الحفاظ على اليقظة خط الدفاع الأكثر فعالية. يُعدّ تثبيت التطبيقات من مصادر موثوقة فقط، وتحديث الأجهزة بأحدث تصحيحات الأمان، وتجنب الروابط أو المرفقات المشبوهة، ممارساتٍ بالغة الأهمية. ومن خلال توخي الحذر واتخاذ الإجراءات الاستباقية، يمكن للمستخدمين تقليل خطر الوقوع ضحية لتهديدات مثل ERMAC 3.0 بشكل كبير.