Bankovní trojan ERMAC V3.0
Výzkumníci v oblasti kybernetické bezpečnosti analyzovali ERMAC 3.0, nejnovější verzi bankovního trojského koně pro Android, a odhalili jak pokročilé funkce, tak kritické slabiny v infrastruktuře jeho operátorů. Tento malware představuje významný krok vpřed v oblasti hrozeb pro mobilní bankovnictví a cílí na širokou škálu finančních a digitálních platforem.
Obsah
Od Cerberusu k ERMAC 3.0: Zlomyslná evoluce
Malware ERMAC, poprvé zdokumentovaný v září 2021, má kořeny v nechvalně známých rodinách malwaru Cerberus a BlackRock. Malware je připisován aktérovi hrozby známému jako DukeEugene a postupně se vyvinul z raných překryvných útoků do sofistikované operace malwaru jako služby (MaaS).
ERMAC 3.0 nyní ohrožuje více než 700 aplikací, od bankovnictví přes nakupování až po kryptoměnové služby. Další kmeny malwaru, jako například Hook (ERMAC 2.0), Pegasus a Loot, sdílejí s ERMACem svůj původ, vypůjčují si a upravují kódové komponenty předávané v následných verzích.
Analýza sady nástrojů pro boj s malwarem
Výzkumníci odhalili kompletní zdrojový kód ERMAC 3.0 a odhalili jeho modulární strukturu. Sada nástrojů se skládá z několika vzájemně propojených komponent, z nichž každá hraje klíčovou roli při provádění rozsáhlých kampaní proti kybernetické kriminalitě:
Backendový C2 server – Umožňuje útočníkům spravovat infikovaná zařízení, načítat protokoly SMS, ukradené přihlašovací údaje a data ze zařízení.
Frontendový panel – Poskytuje rozhraní pro obsluhu, kde lze vydávat příkazy, nasazovat překryvy a zobrazovat ohrožené informace.
Exfiltration Server – Server s technologií Golang určený pro krádeže dat a správu kompromitovaných zařízení.
ERMAC Backdoor – Android implantát založený na Kotlinu schopný dálkového ovládání, sběru dat a obcházení zařízení umístěných v zemích SNS.
ERMAC Builder – konfigurační nástroj, který automatizuje vytváření škodlivých APK souborů úpravou podrobností o serveru a parametrů zadních vrátek.
Nové funkce v ERMAC 3.0
Trojan třetí generace představuje oproti svým předchůdcům několik vylepšení. Patří mezi ně:
- Rozšířené techniky vkládání formulářů pro krádež přihlašovacích údajů.
- Přepracovaný panel velení a řízení (C2) pro efektivnější operace.
- Nový backdoor pro Android s vylepšenými funkcemi pro manipulaci se zařízením.
- Bezpečná komunikace pomocí šifrování AES-CBC.
Trhliny v kriminální infrastruktuře
Navzdory svým vylepšeným možnostem trpí ERMAC 3.0 závažnými provozními chybami. Výzkumníci odhalili nedostatky, včetně pevně zakódovaného tajného klíče JWT, statického tokenu správce, výchozích root přihlašovacích údajů a dokonce i neomezené registrace v administrátorském ovládacím panelu. Tyto slabiny nejen zdůrazňují nízkou bezpečnostní hygienu operátorů, ale také poskytují cenné vstupní body pro obránce, kteří se snaží monitorovat, detekovat a narušovat aktivitu trojského koně v reálných kampaních.
Bezpečí před mobilními hrozbami
Odhalení vnitřního fungování ERMAC 3.0 slouží jako připomínka rostoucí sofistikovanosti bankovních trojských koní pro Android. I když kyberzločinci neustále zdokonalují své nástroje, jejich chyby mohou být stále zneužity ve prospěch bezpečnostních týmů. Pro běžné uživatele zůstává nejúčinnější obrannou linií ostražitost. Instalace aplikací pouze z důvěryhodných zdrojů, udržování zařízení aktualizovaných nejnovějšími bezpečnostními záplatami a vyhýbání se podezřelým odkazům nebo přílohám jsou klíčové postupy. Opatrností a proaktivností mohou uživatelé výrazně snížit riziko, že se stanou obětí hrozeb, jako je ERMAC 3.0.
