ERMAC V3.0 Banking Trojan

អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានបំបែក ERMAC 3.0 ដែលជាការធ្វើឡើងវិញចុងក្រោយបង្អស់នៃ Trojan ធនាគារ Android ដោយបង្ហាញពីសមត្ថភាពកម្រិតខ្ពស់ និងចំណុចខ្សោយសំខាន់ៗនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធរបស់ប្រតិបត្តិកររបស់ខ្លួន។ មេរោគនេះតំណាងឱ្យការបោះជំហានទៅមុខគួរឱ្យកត់សម្គាល់ក្នុងការគំរាមកំហែងផ្នែកធនាគារតាមទូរស័ព្ទ ដោយកំណត់គោលដៅលើវេទិកាហិរញ្ញវត្ថុ និងឌីជីថលយ៉ាងទូលំទូលាយ។

ពី Cerberus ទៅ ERMAC 3.0៖ ការវិវត្តន៍ដ៏អាក្រក់

ឯកសារដំបូងត្រូវបានចងក្រងនៅខែកញ្ញា ឆ្នាំ 2021 ERMAC មានឫសគល់របស់វានៅក្នុងគ្រួសារ Cerberus និង BlackRock ដ៏ល្បីល្បាញ។ មេរោគនេះត្រូវបានសន្មតថាជាតួអង្គគំរាមកំហែងដែលគេស្គាល់ថាជា DukeEugene ហើយបានវិវត្តជាលំដាប់ពីការវាយប្រហារជាន់គ្នាដំបូងទៅជាប្រតិបត្តិការ malware-as-a-service (MaaS) ដ៏ទំនើប។

ឥឡូវនេះ ERMAC 3.0 គំរាមកំហែងដល់កម្មវិធីជាង 700 ដែលគ្របដណ្តប់លើសេវាធនាគារ ការដើរទិញឥវ៉ាន់ និងសេវាកម្មរូបិយប័ណ្ណគ្រីបតូ។ ប្រភេទមេរោគផ្សេងទៀតដូចជា Hook (ERMAC 2.0), Pegasus និង Loot ចែករំលែកត្រកូលជាមួយ ERMAC ការខ្ចី និងកែប្រែសមាសធាតុកូដបានឆ្លងកាត់កំណែជាបន្តបន្ទាប់។

ការបំបែកប្រអប់ឧបករណ៍មេរោគ

អ្នកស្រាវជ្រាវបានរកឃើញកូដប្រភពពេញលេញនៃ ERMAC 3.0 ដោយបង្ហាញពីរចនាសម្ព័ន្ធម៉ូឌុលរបស់វា។ កញ្ចប់ឧបករណ៍មានសមាសធាតុភ្ជាប់គ្នាជាច្រើន ដែលនីមួយៗមានតួនាទីសំខាន់ក្នុងការដំណើរការយុទ្ធនាការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតទ្រង់ទ្រាយធំ៖

Backend C2 Server – បើកឱ្យអ្នកវាយប្រហារគ្រប់គ្រងឧបករណ៍ដែលមានមេរោគ ទាញយកសារ SMS ទិន្នន័យដែលត្រូវគេលួច និងទិន្នន័យឧបករណ៍។

Frontend Panel - ផ្តល់ចំណុចប្រទាក់ប្រតិបត្តិករដើម្បីចេញពាក្យបញ្ជា ដាក់ពង្រាយការត្រួតគ្នា និងមើលព័ត៌មានដែលសម្របសម្រួល។

ម៉ាស៊ីនមេ Exfiltration - ម៉ាស៊ីនមេដែលដំណើរការដោយ Golang ដែលឧទ្ទិសដល់ការលួចទិន្នន័យ និងការគ្រប់គ្រងឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។

ERMAC Backdoor - ការដាក់បញ្ចូលប្រព័ន្ធប្រតិបត្តិការ Android ដែលមានមូលដ្ឋានលើ Kotlin ដែលមានសមត្ថភាពបញ្ជាពីចម្ងាយ ការប្រមូលទិន្នន័យ និងការគេចចេញពីឧបករណ៍ដែលមានទីតាំងនៅប្រទេស CIS ។

ERMAC Builder - ជាឧបករណ៍កំណត់រចនាសម្ព័ន្ធដែលបង្កើតដោយស្វ័យប្រវត្តិនូវការបង្កើត APKs ព្យាបាទដោយការកែប្រែព័ត៌មានលម្អិតរបស់ម៉ាស៊ីនមេ និងប៉ារ៉ាម៉ែត្រ backdoor ។

លក្ខណៈពិសេសថ្មីនៅក្នុង ERMAC 3.0

Trojan ជំនាន់ទី 3 ណែនាំការធ្វើឱ្យប្រសើរឡើងជាច្រើនលើអ្នកកាន់តំណែងមុនរបស់វា។ ទាំងនេះរួមមាន:

• បច្ចេកទេសចាក់ទម្រង់ពង្រីកសម្រាប់ការលួចព័ត៌មានសម្ងាត់។
• បន្ទះ Command-and-Control (C2) ដែលបានរចនាឡើងវិញសម្រាប់ប្រតិបត្តិការសម្រួល។
• ប្រព័ន្ធប្រតិបត្តិការ Android backdoor ថ្មីជាមួយនឹងមុខងារកែលម្អឧបករណ៍។

ការបង្ក្រាបនៅក្នុងរចនាសម្ព័ន្ធព្រហ្មទណ្ឌ

ទោះបីជាសមត្ថភាពប្រសើរឡើងក៏ដោយ ERMAC 3.0 ទទួលរងពីកំហុសប្រតិបត្តិការធ្ងន់ធ្ងរ។ អ្នកស្រាវជ្រាវបានរកឃើញគុណវិបត្តិ រួមទាំងការសម្ងាត់ JWT ដែលសរសេរកូដរឹង និមិត្តសញ្ញាអ្នកកាន់គ្រប់គ្រងឋិតិវន្ត អត្តសញ្ញាណប័ណ្ណលំនាំដើម និងសូម្បីតែការចុះឈ្មោះដែលមិនមានការរឹតបន្តឹងនៅលើផ្ទាំងបញ្ជាអ្នកគ្រប់គ្រង។ ភាពទន់ខ្សោយទាំងនេះមិនត្រឹមតែបង្ហាញពីអនាម័យសុវត្ថិភាពមិនល្អរបស់ប្រតិបត្តិករប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងផ្តល់នូវចំណុចចូលដ៏មានតម្លៃសម្រាប់អ្នកការពារដែលកំពុងស្វែងរកការត្រួតពិនិត្យ រកឃើញ និងរំខានដល់សកម្មភាពរបស់ Trojan នៅក្នុងយុទ្ធនាការជាក់ស្តែង។

រក្សាសុវត្ថិភាពប្រឆាំងនឹងការគំរាមកំហែងតាមទូរស័ព្ទ

ការលាតត្រដាងនៃការងារខាងក្នុងរបស់ ERMAC 3.0 បម្រើជាការរំលឹកអំពីការរីកចម្រើននៃ trojans ធនាគារ Android ។ ខណៈពេលដែលឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបន្តកែលម្អឧបករណ៍របស់ពួកគេ កំហុសរបស់ពួកគេនៅតែអាចប្រើជាប្រយោជន៍ដល់ក្រុមសន្តិសុខ។ សម្រាប់អ្នកប្រើប្រាស់ប្រចាំថ្ងៃ ការរក្សាការប្រុងប្រយ័ត្ននៅតែជាខ្សែការពារដ៏មានប្រសិទ្ធភាពបំផុត។ ការដំឡើងកម្មវិធីតែពីប្រភពដែលអាចទុកចិត្តបាន ការរក្សាឧបករណ៍ឱ្យទាន់សម័យជាមួយនឹងបំណះសុវត្ថិភាពចុងក្រោយបំផុត និងការជៀសវាងតំណភ្ជាប់គួរឱ្យសង្ស័យ ឬឯកសារភ្ជាប់គឺជាការអនុវត្តដ៏សំខាន់ទាំងអស់។ តាមរយៈការរក្សាការប្រុងប្រយ័ត្ន និងសកម្ម អ្នកប្រើប្រាស់អាចកាត់បន្ថយយ៉ាងខ្លាំងនូវហានិភ័យនៃការធ្លាក់ខ្លួនជាជនរងគ្រោះចំពោះការគំរាមកំហែងដូចជា ERMAC 3.0។