تروجان بانکی ERMAC نسخه ۳.۰

محققان امنیت سایبری، ERMAC 3.0، جدیدترین نسخه از یک تروجان بانکی اندروید، را بررسی کرده و قابلیت‌های پیشرفته و نقاط ضعف حیاتی آن را در زیرساخت اپراتورهایش آشکار کرده‌اند. این بدافزار گامی قابل توجه در تهدیدات بانکداری موبایل است که طیف گسترده‌ای از پلتفرم‌های مالی و دیجیتال را هدف قرار می‌دهد.

از سربروس تا ERMAC 3.0: تکاملی مخرب

ERMAC که اولین بار در سپتامبر ۲۰۲۱ مستند شد، ریشه در خانواده‌های بدنام Cerberus و BlackRock دارد. این بدافزار به یک عامل تهدید به نام DukeEugene نسبت داده می‌شود و به طور پیوسته از حملات پوششی اولیه به یک عملیات پیچیده بدافزار به عنوان سرویس (MaaS) تکامل یافته است.

ERMAC 3.0 اکنون بیش از ۷۰۰ برنامه کاربردی، از جمله خدمات بانکی، خرید و ارزهای دیجیتال را تهدید می‌کند. سایر گونه‌های بدافزار، مانند Hook (ERMAC 2.0)، Pegasus و Loot، با ERMAC تبار مشترکی دارند و اجزای کد منتقل شده از طریق نسخه‌های متوالی را قرض گرفته و تغییر می‌دهند.

کالبدشکافی جعبه ابزار بدافزار

محققان کد منبع کامل ERMAC 3.0 را کشف کردند و ساختار ماژولار آن را آشکار ساختند. این جعبه ابزار شامل چندین مؤلفه به هم پیوسته است که هر کدام نقش مهمی در اجرای کمپین‌های جرایم سایبری در مقیاس بزرگ ایفا می‌کنند:

سرور Backend C2 - مهاجمان را قادر می‌سازد تا دستگاه‌های آلوده را مدیریت کنند، گزارش‌های پیامکی، اعتبارنامه‌های سرقت شده و داده‌های دستگاه را بازیابی کنند.

پنل Frontend - یک رابط اپراتور برای صدور دستورات، استقرار پوشش‌ها و مشاهده اطلاعات آسیب‌دیده فراهم می‌کند.

سرور استخراج اطلاعات - یک سرور مبتنی بر Golang که به سرقت داده‌ها و مدیریت دستگاه‌های آلوده اختصاص داده شده است.

درب پشتی ERMAC - یک ایمپلنت اندرویدی مبتنی بر Kotlin که قادر به کنترل از راه دور، جمع‌آوری داده‌ها و فرار از دستگاه‌های واقع در کشورهای مستقل مشترک‌المنافع است.

سازنده ERMAC - ابزاری برای پیکربندی که با سفارشی‌سازی جزئیات سرور و پارامترهای درب پشتی، ایجاد APKهای مخرب را خودکار می‌کند.

ویژگی‌های جدید در ERMAC 3.0

تروجان نسل سوم نسبت به نسل‌های قبلی خود چندین ارتقاء را معرفی می‌کند. این موارد عبارتند از:

• تکنیک‌های تزریق فرم توسعه‌یافته برای سرقت اعتبارنامه.
• پنل فرماندهی و کنترل (C2) با طراحی مجدد برای عملیات ساده‌تر.
• یک درِ پشتی جدید اندروید با ویژگی‌های پیشرفته‌ی دستکاری دستگاه.

شکاف در زیرساخت‌های جنایی

علیرغم قابلیت‌های بهبود یافته، ERMAC 3.0 از اشتباهات عملیاتی جدی رنج می‌برد. محققان نقص‌هایی از جمله یک رمز JWT کدگذاری شده، یک توکن حامل مدیر استاتیک، اعتبارنامه‌های پیش‌فرض ریشه و حتی ثبت نام نامحدود در پنل کنترل مدیریت را کشف کردند. این نقاط ضعف نه تنها بهداشت امنیتی ضعیف اپراتورها را برجسته می‌کند، بلکه نقاط ورود ارزشمندی را برای مدافعانی که به دنبال نظارت، شناسایی و مختل کردن فعالیت تروجان در کمپین‌های دنیای واقعی هستند، فراهم می‌کند.

ایمن ماندن در برابر تهدیدات موبایل

افشای سازوکار داخلی ERMAC 3.0 یادآور پیچیدگی روزافزون تروجان‌های بانکی اندروید است. در حالی که مجرمان سایبری همچنان ابزارهای خود را اصلاح می‌کنند، اشتباهات آنها همچنان می‌تواند به نفع تیم‌های امنیتی مورد استفاده قرار گیرد. برای کاربران روزمره، حفظ هوشیاری همچنان موثرترین خط دفاعی است. نصب برنامه‌ها فقط از منابع معتبر، به‌روزرسانی دستگاه‌ها با آخرین وصله‌های امنیتی و اجتناب از لینک‌ها یا پیوست‌های مشکوک، همگی از اقدامات حیاتی هستند. با محتاط و پیشگیرانه عمل کردن، کاربران می‌توانند خطر قربانی شدن در برابر تهدیداتی مانند ERMAC 3.0 را به میزان قابل توجهی کاهش دهند.