ERMAC V3.0 Banktrojaner
Forskere på nettsikkerhet har dissekert ERMAC 3.0, den nyeste versjonen av en Android-banktrojaner, og avslørt både avanserte funksjoner og kritiske svakheter i operatørenes infrastruktur. Denne skadelige programvaren representerer et bemerkelsesverdig skritt fremover innen trusler mot mobilbanktjenester, og retter seg mot et bredt spekter av finansielle og digitale plattformer.
Innholdsfortegnelse
Fra Cerberus til ERMAC 3.0: En ondsinnet evolusjon
ERMAC, som først ble dokumentert i september 2021, har sine røtter i de beryktede Cerberus- og BlackRock-familiene. Skadevaren tilskrives en trusselaktør kjent som DukeEugene, og har jevnt og trutt utviklet seg fra tidlige overlay-angrep til en sofistikert skadevare-som-en-tjeneste (MaaS)-operasjon.
ERMAC 3.0 truer nå over 700 applikasjoner, som spenner over banktjenester, shopping og kryptovalutatjenester. Andre skadevaretyper, som Hook (ERMAC 2.0), Pegasus og Loot, deler arv med ERMAC, og låner og modifiserer kodekomponenter som er blitt gitt videre gjennom flere versjoner.
Dissekering av verktøysettet for skadelig programvare
Forskere avdekket den komplette kildekoden til ERMAC 3.0, og avslørte dermed den modulære strukturen. Verktøysettet består av flere sammenkoblede komponenter, som hver spiller en kritisk rolle i å kjøre store kampanjer mot nettkriminalitet:
Backend C2-server – Gjør det mulig for angripere å administrere infiserte enheter, hente SMS-logger, stjålne legitimasjonsopplysninger og enhetsdata.
Frontend-panel – Gir et operatørgrensesnitt for å utstede kommandoer, distribuere overlegg og vise kompromittert informasjon.
Exfiltration Server – En Golang-drevet server dedikert til datatyveri og administrasjon av kompromitterte enheter.
ERMAC Backdoor – Et Kotlin-basert Android-implantat som er i stand til fjernkontroll, datainnsamling og unnvikelse av enheter som befinner seg i SNG-land.
ERMAC Builder – Et konfigurasjonsverktøy som automatiserer opprettelsen av ondsinnede APK-er ved å tilpasse serverdetaljer og bakdørsparametere.
Nye funksjoner i ERMAC 3.0
Tredjegenerasjons trojaner introduserer flere oppgraderinger i forhold til forgjengerne. Disse inkluderer:
- Utvidede skjemainjeksjonsteknikker for legitimasjonstyveri.
- Et redesignet kommando-og-kontrollpanel (C2) for strømlinjeformet drift.
- En ny Android-bakdør med forbedrede funksjoner for enhetsmanipulering.
- Sikker kommunikasjon via AES-CBC-kryptering.
Sprekker i den kriminelle infrastrukturen
Til tross for sine forbedrede funksjoner lider ERMAC 3.0 av alvorlige driftsfeil. Forskere avdekket feil, inkludert en hardkodet JWT-hemmelighet, et statisk administratorbærertoken, standard rotlegitimasjon og til og med ubegrenset registrering på administratorkontrollpanelet. Disse svakhetene fremhever ikke bare operatørenes dårlige sikkerhetshygiene, men gir også verdifulle inngangspunkter for forsvarere som ønsker å overvåke, oppdage og forstyrre trojanerens aktivitet i virkelige kampanjer.
Hold deg trygg mot mobiltrusler
Avsløringen av ERMAC 3.0s indre virkemåte tjener som en påminnelse om den økende sofistikeringen av Android-banktrojanere. Selv om nettkriminelle fortsetter å forbedre verktøyene sine, kan feilene deres fortsatt utnyttes til sikkerhetsteamenes fordel. For vanlige brukere er det fortsatt den mest effektive forsvarslinjen å opprettholde årvåkenhet. Å kun installere apper fra pålitelige kilder, holde enhetene oppdatert med de nyeste sikkerhetsoppdateringene og unngå mistenkelige lenker eller vedlegg er alle kritiske fremgangsmåter. Ved å være forsiktige og proaktive kan brukere redusere risikoen for å bli offer for trusler som ERMAC 3.0 betydelig.
