Bankarski trojanac ERMAC V3.0
Istraživači kibernetičke sigurnosti analizirali su ERMAC 3.0, najnoviju verziju Android bankarskog trojanca, otkrivajući i napredne mogućnosti i kritične slabosti u infrastrukturi njegovih operatera. Ovaj zlonamjerni softver predstavlja značajan korak naprijed u prijetnjama mobilnog bankarstva, ciljajući širok raspon financijskih i digitalnih platformi.
Sadržaj
Od Cerberusa do ERMAC-a 3.0: Zlonamjerna evolucija
ERMAC, prvi put dokumentiran u rujnu 2021., vuče korijene iz zloglasnih obitelji Cerberus i BlackRock. Zlonamjerni softver pripisuje se akteru prijetnje poznatom kao DukeEugene i postupno se razvijao od ranih napada do sofisticirane operacije zlonamjernog softvera kao usluge (MaaS).
ERMAC 3.0 sada prijeti više od 700 aplikacija, koje obuhvaćaju bankarske, trgovačke i kriptovalutne usluge. Drugi sojevi zlonamjernog softvera, kao što su Hook (ERMAC 2.0), Pegasus i Loot, dijele porijeklo s ERMAC-om, posuđujući i mijenjajući komponente koda koje su se prenosile kroz uzastopne verzije.
Analiziranje kompleta alata za borbu protiv zlonamjernog softvera
Istraživači su otkrili cjeloviti izvorni kod ERMAC 3.0, otkrivajući njegovu modularnu strukturu. Alat se sastoji od nekoliko međusobno povezanih komponenti, od kojih svaka ima ključnu ulogu u provođenju velikih kampanja kibernetičkog kriminala:
Backend C2 poslužitelj – Omogućuje napadačima upravljanje zaraženim uređajima, preuzimanje SMS zapisnika, ukradenih vjerodajnica i podataka o uređaju.
Frontend ploča – Pruža operatersko sučelje za izdavanje naredbi, postavljanje slojeva i pregled kompromitiranih informacija.
Exfiltration Server – Server pokretan Golangom posvećen krađi podataka i upravljanju kompromitiranim uređajima.
ERMAC Backdoor – Android implantat temeljen na Kotlinu sposoban za daljinsko upravljanje, prikupljanje podataka i izbjegavanje uređaja smještenih u zemljama ZND-a.
ERMAC Builder – Alat za konfiguraciju koji automatizira stvaranje zlonamjernih APK-ova prilagođavanjem detalja poslužitelja i parametara backdoora.
Nove značajke u ERMAC-u 3.0
Trojanac treće generacije uvodi nekoliko poboljšanja u odnosu na svoje prethodnike. To uključuje:
- Proširene tehnike ubrizgavanja obrazaca za krađu vjerodajnica.
- Redizajnirana ploča za zapovijedanje i upravljanje (C2) za pojednostavljeno poslovanje.
- Novi Android backdoor s poboljšanim značajkama manipulacije uređajima.
- Sigurna komunikacija putem AES-CBC enkripcije.
Pukotine u kriminalnoj infrastrukturi
Unatoč poboljšanim mogućnostima, ERMAC 3.0 pati od ozbiljnih operativnih propusta. Istraživači su otkrili nedostatke, uključujući čvrsto kodiranu JWT tajnu, statički token administratorskog nosioca, zadane root vjerodajnice, pa čak i neograničenu registraciju na administratorskoj kontrolnoj ploči. Ove slabosti ne samo da ističu lošu sigurnosnu higijenu operatera, već i pružaju vrijedne ulazne točke za branitelje koji žele pratiti, otkriti i ometati aktivnost trojanca u stvarnim kampanjama.
Zaštita od mobilnih prijetnji
Otkrivanje unutarnjeg rada ERMAC-a 3.0 podsjetnik je na rastuću sofisticiranost Android bankarskih trojanaca. Dok kibernetički kriminalci nastavljaju usavršavati svoje alate, njihove pogreške i dalje mogu biti iskorištene u korist sigurnosnih timova. Za svakodnevne korisnike, održavanje budnosti ostaje najučinkovitija linija obrane. Instaliranje aplikacija samo iz pouzdanih izvora, ažuriranje uređaja najnovijim sigurnosnim zakrpama i izbjegavanje sumnjivih poveznica ili privitaka ključne su prakse. Oprezom i proaktivnošću korisnici mogu značajno smanjiti rizik od prijetnji poput ERMAC-a 3.0.
