Trojan bancario ERMAC V3.0
I ricercatori di sicurezza informatica hanno analizzato ERMAC 3.0, l'ultima versione di un trojan bancario per Android, rivelando sia funzionalità avanzate che critici punti deboli nell'infrastruttura dei suoi operatori. Questo malware rappresenta un notevole passo avanti nelle minacce al mobile banking, prendendo di mira un'ampia gamma di piattaforme finanziarie e digitali.
Sommario
Da Cerberus a ERMAC 3.0: un’evoluzione maligna
Documentato per la prima volta nel settembre 2021, ERMAC affonda le sue radici nelle famigerate famiglie Cerberus e BlackRock. Il malware è attribuito a un autore di minacce noto come DukeEugene e si è evoluto costantemente dai primi attacchi overlay a una sofisticata operazione di malware-as-a-service (MaaS).
ERMAC 3.0 minaccia ora oltre 700 applicazioni, che spaziano dai servizi bancari, allo shopping online e alle criptovalute. Altri ceppi di malware, come Hook (ERMAC 2.0), Pegasus e Loot, condividono la stessa discendenza con ERMAC, prendendo in prestito e modificando componenti di codice tramandati attraverso le versioni successive.
Analisi del toolkit del malware
I ricercatori hanno scoperto il codice sorgente completo di ERMAC 3.0, svelandone la struttura modulare. Il toolkit comprende diversi componenti interconnessi, ognuno dei quali svolge un ruolo fondamentale nella gestione di campagne di cybercriminalità su larga scala:
Server C2 backend : consente agli aggressori di gestire i dispositivi infetti, recuperare i registri SMS, le credenziali rubate e i dati dei dispositivi.
Pannello frontale : fornisce un'interfaccia operatore per impartire comandi, distribuire sovrapposizioni e visualizzare informazioni compromesse.
Exfiltration Server : un server basato su Golang dedicato al furto di dati e alla gestione dei dispositivi compromessi.
ERMAC Backdoor : un impianto Android basato su Kotlin in grado di controllare a distanza, raccogliere dati ed eludere dispositivi situati nei paesi della CSI.
ERMAC Builder : uno strumento di configurazione che automatizza la creazione di APK dannosi personalizzando i dettagli del server e i parametri backdoor.
Nuove funzionalità in ERMAC 3.0
Il trojan di terza generazione introduce diversi aggiornamenti rispetto ai suoi predecessori. Tra questi:
- Tecniche di iniezione di moduli estesi per il furto di credenziali.
- Un pannello di comando e controllo (C2) riprogettato per operazioni semplificate.
- Una nuova backdoor Android con funzionalità avanzate di manipolazione del dispositivo.
- Comunicazioni sicure tramite crittografia AES-CBC.
Crepe nell’infrastruttura criminale
Nonostante le sue funzionalità avanzate, ERMAC 3.0 soffre di gravi errori operativi. I ricercatori hanno scoperto falle, tra cui un segreto JWT hardcoded, un bearer token statico per l'amministratore, credenziali di root predefinite e persino una registrazione illimitata sul pannello di controllo dell'amministratore. Queste debolezze evidenziano non solo la scarsa igiene della sicurezza degli operatori, ma forniscono anche preziosi punti di accesso per i difensori che cercano di monitorare, rilevare e interrompere l'attività del trojan nelle campagne del mondo reale.
Proteggersi dalle minacce mobili
La rivelazione del funzionamento interno di ERMAC 3.0 serve a ricordare la crescente sofisticazione dei trojan bancari Android. Mentre i criminali informatici continuano a perfezionare i loro strumenti, i loro errori possono ancora essere sfruttati a vantaggio dei team di sicurezza. Per gli utenti comuni, mantenere la vigilanza rimane la linea di difesa più efficace. Installare applicazioni solo da fonti attendibili, mantenere i dispositivi aggiornati con le ultime patch di sicurezza ed evitare link o allegati sospetti sono tutte pratiche fondamentali. Mantenendo cautela e proattività, gli utenti possono ridurre significativamente il rischio di cadere vittima di minacce come ERMAC 3.0.
