ERMAC V3.0银行木马

网络安全研究人员对安卓银行木马ERMAC 3.0进行了深入分析，揭示了其运营商基础设施中存在的高级功能和关键漏洞。该恶意软件代表着移动银行威胁的显著进步，其目标是广泛的金融和数字平台。

从 Cerberus 到 ERMAC 3.0：恶意进化

ERMAC 于 2021 年 9 月首次被记录，其根源在于臭名昭著的 Cerberus 和 BlackRock 家族。该恶意软件由名为 DukeEugene 的威胁行为者开发，并已从早期的覆盖攻击稳步发展为复杂的恶意软件即服务 (MaaS) 操作。

ERMAC 3.0 目前威胁着 700 多个应用程序，涵盖银行、购物和加密货币服务。其他恶意软件，例如 Hook（ERMAC 2.0）、Pegasus 和 Loot，与 ERMAC 共享血统，借用并修改了其在后续版本中传承下来的代码组件。

剖析恶意软件工具包

研究人员发现了ERMAC 3.0的完整源代码，揭示了其模块化结构。该工具包由几个相互连接的组件组成，每个组件在开展大规模网络犯罪活动中都发挥着关键作用：

后端 C2 服务器– 使攻击者能够管理受感染的设备、检索短信日志、被盗凭证和设备数据。

前端面板——提供操作员界面来发出命令、部署覆盖层和查看受损信息。

Excluding Server——一款由 Golang 驱动的服务器，专用于数据盗窃和受损设备管理。

ERMAC 后门——一种基于 Kotlin 的 Android 植入程序，能够进行远程控制、数据收集和逃避位于独联体国家的设备。

ERMAC Builder——一种配置工具，通过自定义服务器详细信息和后门参数来自动创建恶意 APK。

ERMAC 3.0 的新功能

第三代 Trojan 病毒较前代产品进行了多项升级，包括：

• 用于窃取凭证的扩展表单注入技术。
• 重新设计的指挥和控制 (C2) 面板可简化操作。
• 一种具有增强设备操作功能的新型 Android 后门。

犯罪基础设施的漏洞

尽管 ERMAC 3.0 功能增强，但它仍存在严重的操作失误。研究人员发现了一些漏洞，包括硬编码的 JWT 密钥、静态管理员持有者令牌、默认根凭据，甚至还有管理控制面板上不受限制的注册。这些漏洞不仅凸显了运营商糟糕的安全卫生状况，也为试图在实际活动中监控、检测和破坏该木马活动的防御者提供了宝贵的切入点。

防范移动威胁

ERMAC 3.0 内部工作原理的曝光，提醒人们 Android 银行木马的日益复杂。尽管网络犯罪分子不断改进其工具，但他们的错误仍然可能被安全团队利用。对于日常用户来说，保持警惕仍然是最有效的防线。仅安装来自可靠来源的应用程序、持续更新设备安全补丁、避免可疑链接或附件，这些都是至关重要的做法。通过保持谨慎和主动，用户可以显著降低成为 ERMAC 3.0 等威胁受害者的风险。