Банковский троян ERMAC V3.0
Исследователи кибербезопасности проанализировали ERMAC 3.0, последнюю версию банковского трояна для Android, выявив как расширенные возможности, так и критические уязвимости в инфраструктуре его операторов. Эта вредоносная программа представляет собой значительный шаг вперед в области угроз для мобильного банкинга, нацеленных на широкий спектр финансовых и цифровых платформ.
Оглавление
От Cerberus до ERMAC 3.0: вредоносная эволюция
Впервые описанный в сентябре 2021 года, ERMAC берёт своё начало в печально известных семействах Cerberus и BlackRock. Вредоносное ПО приписывается группировке, известной как DukeEugene, и постепенно эволюционировало от ранних оверлейных атак до сложной операции «вредоносное ПО как услуга» (MaaS).
ERMAC 3.0 теперь угрожает более чем 700 приложениям, включая банковские, торговые и криптовалютные сервисы. Другие вредоносные программы, такие как Hook (ERMAC 2.0), Pegasus и Loot, имеют общее происхождение с ERMAC, заимствуя и модифицируя компоненты кода, передававшиеся из последующих версий.
Анализ инструментария вредоносного ПО
Исследователи обнаружили полный исходный код ERMAC 3.0, продемонстрировав его модульную структуру. Инструментарий состоит из нескольких взаимосвязанных компонентов, каждый из которых играет важную роль в проведении масштабных киберпреступных кампаний:
Внутренний сервер C2 — позволяет злоумышленникам управлять зараженными устройствами, извлекать журналы SMS, украденные учетные данные и данные устройств.
Панель управления — предоставляет операторский интерфейс для подачи команд, развертывания оверлеев и просмотра скомпрометированной информации.
Сервер эксфильтрации — сервер на базе Golang, предназначенный для кражи данных и управления скомпрометированными устройствами.
ERMAC Backdoor – Android-имплант на основе Kotlin, способный осуществлять удаленное управление, сбор данных и обход защиты устройств, расположенных в странах СНГ.
ERMAC Builder – инструмент конфигурации, который автоматизирует создание вредоносных APK-файлов путем настройки данных сервера и параметров бэкдора.
Новые функции в ERMAC 3.0
Троян третьего поколения имеет ряд усовершенствований по сравнению со своими предшественниками. В их числе:
- Расширенные методы внедрения форм для кражи учетных данных.
- Модернизированная панель управления и контроля (C2) для упрощения операций.
- Новый бэкдор для Android с расширенными возможностями манипулирования устройством.
- Безопасная связь с помощью шифрования AES-CBC.
Трещины в криминальной инфраструктуре
Несмотря на расширенные возможности, ERMAC 3.0 страдает от серьёзных эксплуатационных ошибок. Исследователи обнаружили такие уязвимости, как жёстко запрограммированный секретный JWT, статический токен администратора, учётные данные root по умолчанию и даже неограниченная регистрация в панели управления администратора. Эти уязвимости не только демонстрируют низкий уровень безопасности операторов, но и предоставляют ценные точки входа для специалистов по безопасности, стремящихся отслеживать, обнаруживать и пресекать активность трояна в реальных кампаниях.
Обеспечение безопасности от мобильных угроз
Раскрытие внутреннего устройства ERMAC 3.0 служит напоминанием о растущей сложности банковских троянов для Android. Хотя киберпреступники продолжают совершенствовать свои инструменты, их ошибки по-прежнему могут быть использованы службами безопасности. Для обычных пользователей бдительность остаётся наиболее эффективной линией защиты. Установка приложений только из надёжных источников, своевременное обновление устройств до последних обновлений безопасности и избегание подозрительных ссылок и вложений — всё это критически важные меры. Соблюдая осторожность и проявляя активность, пользователи могут значительно снизить риск стать жертвой таких угроз, как ERMAC 3.0.
