ERMAC V3.0 뱅킹 트로이 목마

사이버 보안 연구원들이 안드로이드 뱅킹 트로이목마의 최신 버전인 ERMAC 3.0을 분석하여 운영자 인프라의 고급 기능과 치명적인 취약점을 모두 드러냈습니다. 이 악성코드는 광범위한 금융 및 디지털 플랫폼을 표적으로 삼아 모바일 뱅킹 위협에 있어 주목할 만한 진전을 보여줍니다.

Cerberus에서 ERMAC 3.0까지: 악의적인 진화

2021년 9월에 처음 발견된 ERMAC은 악명 높은 Cerberus와 BlackRock 계열에 뿌리를 두고 있습니다. 이 맬웨어는 DukeEugene이라는 위협 행위자의 소행으로 추정되며, 초기 오버레이 공격에서 정교한 MaaS(맬웨어 서비스형 서비스) 공격으로 꾸준히 진화해 왔습니다.

ERMAC 3.0은 현재 뱅킹, 쇼핑, 암호화폐 서비스 등 700개 이상의 애플리케이션을 위협하고 있습니다. Hook(ERMAC 2.0), Pegasus, Loot와 같은 다른 악성코드 변종은 ERMAC과 유사하며, 여러 버전을 통해 전승된 코드 구성 요소를 차용하고 수정합니다.

맬웨어 툴킷 분석

연구원들은 ERMAC 3.0의 완전한 소스 코드를 공개하여 모듈형 구조를 드러냈습니다. 이 툴킷은 여러 개의 상호 연결된 구성 요소로 구성되어 있으며, 각 구성 요소는 대규모 사이버 범죄 캠페인을 실행하는 데 중요한 역할을 합니다.

백엔드 C2 서버 – 공격자가 감염된 기기를 관리하고, SMS 로그, 도난당한 자격 증명 및 기기 데이터를 검색할 수 있도록 합니다.

프런트엔드 패널 – 명령을 내리고, 오버레이를 배포하고, 손상된 정보를 볼 수 있는 운영자 인터페이스를 제공합니다.

Exfiltration Server – 데이터 유출 및 손상된 장치 관리를 전담하는 Golang 기반 서버입니다.

ERMAC 백도어 – 원격 제어, 데이터 수집, CIS 국가에 위치한 장치 회피가 가능한 Kotlin 기반 안드로이드 임플란트입니다.

ERMAC Builder – 서버 세부 정보와 백도어 매개변수를 사용자 정의하여 악성 APK 생성을 자동화하는 구성 도구입니다.

ERMAC 3.0의 새로운 기능

3세대 트로이 목마는 이전 모델에 비해 여러 가지 업그레이드를 도입했습니다. 다음과 같은 특징이 있습니다.

• 신임장 도용을 위한 확장된 양식 주입 기술.
• 간소화된 작업을 위해 재설계된 명령 및 제어(C2) 패널.
• 향상된 기기 조작 기능을 갖춘 새로운 안드로이드 백도어.

• AES-CBC 암호화를 통한 안전한 통신.

범죄 인프라의 균열

향상된 기능에도 불구하고 ERMAC 3.0은 심각한 운영상의 실수를 범하고 있습니다. 연구원들은 하드코딩된 JWT 비밀, 정적 관리자 전달자 토큰, 기본 루트 자격 증명, 심지어 관리자 제어판의 무제한 등록까지 포함한 취약점을 발견했습니다. 이러한 취약점은 운영자의 보안 위생 상태가 좋지 않음을 보여줄 뿐만 아니라, 실제 공격에서 트로이 목마의 활동을 모니터링, 탐지 및 차단하려는 방어자에게 귀중한 진입점을 제공합니다.

모바일 위협으로부터 안전을 유지하는 방법

ERMAC 3.0의 내부 작동 방식이 노출됨에 따라 안드로이드 뱅킹 트로이 목마가 점점 더 정교해지고 있음을 다시 한번 확인할 수 있습니다. 사이버 범죄자들이 계속해서 도구를 개선하고 있지만, 그들의 실수는 여전히 보안 팀에 유리하게 악용될 수 있습니다. 일반 사용자에게는 경계를 유지하는 것이 가장 효과적인 방어선입니다. 신뢰할 수 있는 출처의 애플리케이션만 설치하고, 기기를 최신 보안 패치로 업데이트하고, 의심스러운 링크나 첨부 파일을 피하는 것이 매우 중요합니다. 사용자는 신중하고 선제적으로 대응함으로써 ERMAC 3.0과 같은 위협의 희생자가 될 위험을 크게 줄일 수 있습니다.