Банківський троян ERMAC V3.0
Дослідники з кібербезпеки проаналізували ERMAC 3.0, останню версію банківського трояна для Android, і виявили як розширені можливості, так і критичні слабкі місця в інфраструктурі його операторів. Це шкідливе програмне забезпечення є помітним кроком вперед у сфері загроз мобільному банкінгу, спрямованих на широкий спектр фінансових та цифрових платформ.
Зміст
Від Cerberus до ERMAC 3.0: Зловмисна еволюція
Вперше задокументований у вересні 2021 року, ERMAC сягає корінням у сумнозвісні сімейства Cerberus та BlackRock. Шкідливе програмне забезпечення приписують зловмиснику, відомому як DukeEugene, і воно поступово еволюціонувало від ранніх оверлейних атак до складної операції «шкідливе програмне забезпечення як послуга» (MaaS).
ERMAC 3.0 зараз загрожує понад 700 додаткам, що охоплюють банківські послуги, покупки та криптовалютні сервіси. Інші штами шкідливого програмного забезпечення, такі як Hook (ERMAC 2.0), Pegasus та Loot, мають спільне походження з ERMAC, запозичуючи та змінюючи компоненти коду, що передавалися через наступні версії.
Аналіз інструментарію боротьби зі шкідливим програмним забезпеченням
Дослідники виявили повний вихідний код ERMAC 3.0, розкривши його модульну структуру. Інструментарій складається з кількох взаємопов'язаних компонентів, кожен з яких відіграє вирішальну роль у проведенні масштабних кампаній з боротьби з кіберзлочинністю:
Бекенд-сервер C2 – дозволяє зловмисникам керувати зараженими пристроями, отримувати журнали SMS, викрадені облікові дані та дані пристроїв.
Фронтенд-панель – надає інтерфейс оператора для видачі команд, розгортання накладок та перегляду скомпрометованої інформації.
Сервер вилучення даних – сервер на базі Golang, призначений для крадіжки даних та керування скомпрометованими пристроями.
Бекдор ERMAC – імплантат Android на базі Kotlin, здатний дистанційно керувати, збирати дані та обходити пристрої, розташовані в країнах СНД.
ERMAC Builder – інструмент конфігурації, який автоматизує створення шкідливих APK-файлів шляхом налаштування даних сервера та параметрів бекдору.
Нові можливості в ERMAC 3.0
Троян третього покоління має кілька покращень порівняно з попередниками. До них належать:
- Розширені методи введення даних у форми для крадіжки облікових даних.
- Перероблена панель командування та управління (C2) для оптимізації операцій.
- Новий бекдор для Android з покращеними функціями маніпулювання пристроями.
Тріщини в кримінальній інфраструктурі
Незважаючи на розширені можливості, ERMAC 3.0 страждає від серйозних операційних помилок. Дослідники виявили недоліки, зокрема жорстко закодований секрет JWT, статичний токен адміністратора, облікові дані root за замовчуванням і навіть необмежену реєстрацію на панелі керування адміністратора. Ці недоліки свідчать не лише про низьку гігієну безпеки операторів, але й забезпечують цінні точки входу для захисників, які прагнуть контролювати, виявляти та порушувати активність трояна в реальних кампаніях.
Захист від мобільних загроз
Викриття внутрішньої роботи ERMAC 3.0 служить нагадуванням про зростаючу складність банківських троянів для Android. Хоча кіберзлочинці продовжують удосконалювати свої інструменти, їхні помилки все ще можуть бути використані на користь команд безпеки. Для звичайних користувачів пильність залишається найефективнішою лінією захисту. Встановлення програм лише з перевірених джерел, оновлення пристроїв до останніх патчів безпеки та уникнення підозрілих посилань або вкладень – все це критично важливі практики. Залишаючись обережними та проактивними, користувачі можуть значно зменшити ризик стати жертвою таких загроз, як ERMAC 3.0.
