Troià bancari ERMAC V3.0

Investigadors de ciberseguretat han analitzat ERMAC 3.0, la darrera versió d'un troià bancari d'Android, i han revelat tant capacitats avançades com debilitats crítiques a la infraestructura dels seus operadors. Aquest programari maliciós representa un notable pas endavant en les amenaces de la banca mòbil, dirigides a una àmplia gamma de plataformes financeres i digitals.

De Cerberus a ERMAC 3.0: Una evolució maliciosa

Documentat per primera vegada el setembre del 2021, ERMAC té les seves arrels en les infames famílies Cerberus i BlackRock. El programari maliciós s'atribueix a un actor d'amenaces conegut com a DukeEugene i ha evolucionat constantment des dels primers atacs superposats fins a una sofisticada operació de programari maliciós com a servei (MaaS).

L'ERMAC 3.0 ara amenaça més de 700 aplicacions, que abasten serveis bancaris, de compres i de criptomoneda. Altres soques de programari maliciós, com ara Hook (ERMAC 2.0), Pegasus i Loot, comparteixen llinatge amb ERMAC, prenent prestat i modificant components de codi transmesos a través de versions successives.

Analitzant el conjunt d’eines de programari maliciós

Els investigadors van descobrir el codi font complet d'ERMAC 3.0, exposant la seva estructura modular. El conjunt d'eines comprèn diversos components interconnectats, cadascun dels quals té un paper crític en l'execució de campanyes de ciberdelinqüència a gran escala:

Servidor C2 de backend : permet als atacants gestionar els dispositius infectats, recuperar registres de SMS, credencials robades i dades del dispositiu.

Panell frontal : proporciona una interfície d'operador per emetre ordres, implementar superposicions i visualitzar informació compromesa.

Servidor d'exfiltració : un servidor impulsat per Golang dedicat al robatori de dades i a la gestió de dispositius compromesos.

ERMAC Backdoor : un implant Android basat en Kotlin capaç de controlar remotament, recopilar dades i evadir dispositius ubicats en països de la CEI.

ERMAC Builder : una eina de configuració que automatitza la creació d'APK maliciosos personalitzant els detalls del servidor i els paràmetres de la porta del darrere.

Noves funcions a l’ERMAC 3.0

El troià de tercera generació presenta diverses millores respecte als seus predecessors. Aquestes inclouen:

• Tècniques d'injecció de formularis ampliades per al robatori de credencials.
• Un panell de comandament i control (C2) redissenyat per a operacions optimitzades.
• Una nova porta del darrere per a Android amb funcions de manipulació de dispositius millorades.

• Comunicacions segures mitjançant xifratge AES-CBC.

Esquerdes en la infraestructura criminal

Malgrat les seves capacitats millorades, l'ERMAC 3.0 pateix greus errors operatius. Els investigadors van descobrir defectes, com ara un secret JWT codificat, un token de portador d'administrador estàtic, credencials d'arrel predeterminades i fins i tot registre sense restriccions al tauler de control de l'administrador. Aquestes debilitats no només destaquen la poca higiene de seguretat dels operadors, sinó que també proporcionen punts d'entrada valuosos per als defensors que busquen monitoritzar, detectar i interrompre l'activitat del troià en campanyes del món real.

Mantenir-se segur contra les amenaces mòbils

L'exposició del funcionament intern d'ERMAC 3.0 serveix com a recordatori de la creixent sofisticació dels troians bancaris d'Android. Tot i que els ciberdelinqüents continuen refinant les seves eines, els seus errors encara es poden aprofitar en avantatge dels equips de seguretat. Per als usuaris quotidians, mantenir la vigilància continua sent la línia de defensa més eficaç. Instal·lar aplicacions només de fonts de confiança, mantenir els dispositius actualitzats amb els darrers pegats de seguretat i evitar enllaços o fitxers adjunts sospitosos són pràctiques crítiques. Si es mantenen prudents i proactius, els usuaris poden reduir significativament el risc de ser víctimes d'amenaces com ERMAC 3.0.