Bankininkystės Trojos arklys ERMAC V3.0
Kibernetinio saugumo tyrėjai išanalizavo naujausią „Android“ bankininkystės Trojos arklio „ERMAC 3.0“ versiją, atskleisdami tiek pažangias galimybes, tiek kritinius operatorių infrastruktūros trūkumus. Ši kenkėjiška programa yra reikšmingas žingsnis į priekį kovojant su mobiliosios bankininkystės grėsmėmis, nukreiptomis prieš įvairias finansines ir skaitmenines platformas.
Turinys
Nuo „Cerberus“ iki ERMAC 3.0: kenkėjiška evoliucija
Pirmą kartą aprašyta 2021 m. rugsėjį, ERMAC šaknys slypi liūdnai pagarsėjusiose „Cerberus“ ir „BlackRock“ šeimose. Kenkėjiška programa priskiriama grėsmės veikėjui, žinomam kaip „DukeEugene“, ir ji nuolat vystėsi nuo ankstyvų perdengimo atakų iki sudėtingos kenkėjiškų programų kaip paslaugos (MaaS) operacijos.
ERMAC 3.0 dabar kelia grėsmę daugiau nei 700 programų, apimančių bankininkystės, apsipirkimo ir kriptovaliutų paslaugas. Kitos kenkėjiškų programų atmainos, tokios kaip „Hook“ (ERMAC 2.0), „Pegasus“ ir „Loot“, turi tą pačią liniją kaip ir ERMAC, skolindamosi ir modifikuodamos kodo komponentus, perduodamus iš kartos į kartą.
Kenkėjiškų programų įrankių rinkinio analizė
Tyrėjai atskleidė visą ERMAC 3.0 šaltinio kodą, atskleisdami jo modulinę struktūrą. Įrankių rinkinį sudaro keli tarpusavyje susiję komponentai, kurių kiekvienas atlieka svarbų vaidmenį vykdant didelio masto kibernetinių nusikaltimų kampanijas:
„Backend C2 Server“ – leidžia užpuolikams valdyti užkrėstus įrenginius, gauti SMS žurnalus, pavogtus prisijungimo duomenis ir įrenginių duomenis.
Priekinis skydelis – suteikia operatoriaus sąsają komandoms išduoti, perdengimams diegti ir pažeistai informacijai peržiūrėti.
Išfiltracijos serveris – „Golang“ pagrindu veikiantis serveris, skirtas duomenų vagystėms ir pažeistų įrenginių valdymui.
ERMAC Backdoor – „Kotlin“ pagrindu sukurtas „Android“ implantas, galintis nuotoliniu būdu valdyti, rinkti duomenis ir apeiti įrenginius, esančius NVS šalyse.
„ERMAC Builder“ – konfigūravimo įrankis, kuris automatizuoja kenkėjiškų APK failų kūrimą, tinkindamas serverio informaciją ir „backdoor“ parametrus.
Naujos ERMAC 3.0 funkcijos
Trečiosios kartos Trojos arklys, palyginti su savo pirmtakais, turi keletą atnaujinimų. Tai apima:
- Išplėstinės formos įterpimo technikos kredencialų vagystei.
- Pertvarkytas vadovavimo ir valdymo (C2) skydas operacijoms supaprastinti.
- Nauja „Android“ galinė durų funkcija su patobulintomis įrenginių manipuliavimo funkcijomis.
- Saugus ryšys naudojant AES-CBC šifravimą.
Įtrūkimai nusikalstamoje infrastruktūroje
Nepaisant patobulintų galimybių, ERMAC 3.0 kenčia nuo rimtų veikimo klaidų. Tyrėjai aptiko trūkumų, įskaitant užkoduotą JWT paslaptį, statinį administratoriaus turėtojo prieigos raktą, numatytuosius root prisijungimo duomenis ir net neribotą registraciją administratoriaus valdymo skydelyje. Šie trūkumai ne tik pabrėžia prastą operatorių saugumo higieną, bet ir suteikia vertingų įėjimo taškų gynėjams, siekiantiems stebėti, aptikti ir sutrikdyti Trojos arklio veiklą realiose kampanijose.
Apsauga nuo mobiliųjų grėsmių
ERMAC 3.0 vidinio veikimo atskleidimas primena apie augantį „Android“ bankininkystės Trojos arklių rafinuotumą. Nors kibernetiniai nusikaltėliai ir toliau tobulina savo įrankius, jų klaidas vis dar galima panaudoti saugumo komandų naudai. Kasdieniams vartotojams budrumas išlieka veiksmingiausia gynybos linija. Labai svarbu diegti programas tik iš patikimų šaltinių, atnaujinti įrenginius su naujausiomis saugos pataisomis ir vengti įtartinų nuorodų ar priedų. Būdami atsargūs ir iniciatyvūs, vartotojai gali gerokai sumažinti riziką tapti tokių grėsmių kaip ERMAC 3.0 aukomis.
