Banku Trojas zirgs ERMAC V3.0
Kiberdrošības pētnieki ir rūpīgi izpētījuši ERMAC 3.0, jaunāko Android banku Trojas zirga versiju, atklājot gan uzlabotas iespējas, gan kritiskus trūkumus operatoru infrastruktūrā. Šī ļaunprogrammatūra ir ievērojams solis uz priekšu mobilo banku apdraudējumu jomā, kas ir vērsts pret plašu finanšu un digitālo platformu klāstu.
Satura rādītājs
No Cerberus līdz ERMAC 3.0: ļaunprātīga evolūcija
Pirmo reizi dokumentēta 2021. gada septembrī, ERMAC saknes meklējamas bēdīgi slavenajās Cerberus un BlackRock saimēs. Ļaunprogrammatūra tiek piedēvēta apdraudējuma spēlētājam DukeEugene, un tā ir pakāpeniski attīstījusies no agrīniem pārklājuma uzbrukumiem līdz sarežģītai ļaunprogrammatūras kā pakalpojuma (MaaS) darbībai.
ERMAC 3.0 tagad apdraud vairāk nekā 700 lietojumprogrammas, tostarp banku, iepirkšanās un kriptovalūtu pakalpojumus. Citi ļaunprogrammatūras paveidi, piemēram, Hook (ERMAC 2.0), Pegasus un Loot, ir līdzīgi ERMAC, aizņemoties un modificējot koda komponentus, kas nodoti no paaudzes paaudzē.
Ļaunprogrammatūras rīkkopa analīze
Pētnieki atklāja pilnu ERMAC 3.0 pirmkodu, atklājot tā modulāro struktūru. Rīkkopa sastāv no vairākiem savstarpēji savienotiem komponentiem, un katram no tiem ir izšķiroša nozīme liela mēroga kibernoziegumu kampaņu īstenošanā:
C2 servera aizmugures serveris — ļauj uzbrucējiem pārvaldīt inficētas ierīces, izgūt īsziņu žurnālus, nozagtus akreditācijas datus un ierīču datus.
Priekšējā paneļa — nodrošina operatora saskarni komandu izdošanai, pārklājumu izvietošanai un apdraudētas informācijas skatīšanai.
Eksfiltrācijas serveris — Golang darbināms serveris, kas paredzēts datu zādzībām un kompromitētu ierīču pārvaldībai.
ERMAC Backdoor — uz Kotlin bāzes veidots Android implants, kas spēj attālināti vadīt, apkopot datus un apiet ierīces, kas atrodas NVS valstīs.
ERMAC Builder — konfigurācijas rīks, kas automatizē ļaunprātīgu APK failu izveidi, pielāgojot servera informāciju un aizmugurējo durvju parametrus.
Jaunas ERMAC 3.0 funkcijas
Trešās paaudzes Trojas zirgs ievieš vairākus uzlabojumus salīdzinājumā ar tā priekšgājējiem. Tie ietver:
- Paplašinātas veidlapu injekcijas metodes akreditācijas datu zādzības gadījumā.
- Pārveidots vadības un kontroles (C2) panelis operāciju optimizēšanai.
- Jauna Android aizmugurējā durvis ar uzlabotām ierīču manipulācijas funkcijām.
- Droša saziņa, izmantojot AES-CBC šifrēšanu.
Plaisas kriminālajā infrastruktūrā
Neskatoties uz uzlabotajām iespējām, ERMAC 3.0 cieš no nopietnām darbības kļūdām. Pētnieki atklāja trūkumus, tostarp cietkodā ierakstītu JWT noslēpumu, statisku administratora nesēja marķieri, noklusējuma root akreditācijas datus un pat neierobežotu reģistrāciju administratora vadības panelī. Šīs vājības ne tikai izceļ operatoru slikto drošības higiēnu, bet arī nodrošina vērtīgus piekļuves punktus aizstāvjiem, kuri vēlas uzraudzīt, atklāt un traucēt Trojas zirga darbību reālās pasaules kampaņās.
Aizsardzība pret mobilo ierīču draudiem
ERMAC 3.0 iekšējās darbības atklāšana kalpo kā atgādinājums par Android banku Trojas zirgu pieaugošo sarežģītību. Lai gan kibernoziedznieki turpina pilnveidot savus rīkus, viņu kļūdas joprojām var izmantot drošības komandu labā. Ikdienas lietotājiem modrība joprojām ir visefektīvākā aizsardzības līnija. Lietojumprogrammu instalēšana tikai no uzticamiem avotiem, ierīču atjaunināšana ar jaunākajiem drošības ielāpiem un aizdomīgu saišu vai pielikumu izvairīšanās ir kritiski svarīga prakse. Ievērojot piesardzību un proaktivitāti, lietotāji var ievērojami samazināt risku kļūt par tādu draudu upuriem kā ERMAC 3.0.
