Исследователи кибербезопасности подробно рассмотрели внутреннюю работу банковского трояна Android под названием ERMAC 3.0, выявив серьезные недостатки в инфраструктуре операторов.
«Недавно обнаруженная версия 3.0 демонстрирует существенную эволюцию вредоносного ПО, расширяя его возможности по внедрению форм и краже данных для охвата более 700 банковских, торговых и криптовалютных приложений», — говорится в отчете Hunt.io.
ERMAC был впервые описан ThreatFabric в сентябре 2021 года, где подробно описывалась его способность проводить оверлейные атаки на сотни банковских и криптовалютных приложений по всему миру. Угрозу приписывают злоумышленнику по имени DukeEugene, и она считается развитием Cerberus и BlackRock.
Другие часто встречающиеся семейства вредоносных программ , включая Hook (ERMAC 2.0), Pegasus и Loot, имеют общую родословную: предка в лице ERMAC, компоненты исходного кода которого передавались и модифицировались на протяжении поколений.
Hunt.io заявила, что ей удалось получить полный исходный код, связанный с предложением вредоносного ПО как услуги (MaaS), из открытого каталога на 141.164.62[.]236:443, включая его бэкэнд на PHP и Laravel, фронтэнд на базе React, сервер эксфильтрации Golang и панель конструктора Android.
Функции каждого из компонентов перечислены ниже:
Внутренний сервер C2 — предоставляет операторам возможность управлять устройствами жертв и получать доступ к скомпрометированным данным, таким как журналы SMS, украденные учетные записи и данные устройств.
Панель управления — позволяет операторам взаимодействовать с подключенными устройствами, отдавая команды, управляя наложениями и получая доступ к украденным данным.
Сервер эксфильтрации — сервер Golang, используемый для эксфильтрации украденных данных и управления информацией, связанной со скомпрометированными устройствами.
Бэкдор ERMAC — вредоносная программа для Android, написанная на языке Kotlin, которая позволяет контролировать скомпрометированное устройство и собирать конфиденциальные данные на основе входящих команд с сервера C2, гарантируя при этом, что заражение не коснется устройств, расположенных в странах Содружества Независимых Государств (СНГ).
ERMAC Builder — инструмент, помогающий клиентам настраивать и создавать сборки для своих вредоносных кампаний, предоставляя имя приложения, URL-адрес сервера и другие параметры для бэкдора Android.
Помимо расширенного набора целевых приложений, ERMAC 3.0 добавляет новые методы внедрения форм, переработанную панель управления и контроля (C2), новый бэкдор Android и зашифрованные сообщения AES-CBC.
«Утечка выявила критические уязвимости, такие как жёстко запрограммированный секретный JWT и статический токен администратора, учётные данные root по умолчанию и открытая регистрация учётных записей в панели администратора», — заявила компания. «Сопоставляя эти уязвимости с действующей инфраструктурой ERMAC, мы предоставляем специалистам по безопасности конкретные способы отслеживания, обнаружения и прерывания активных операций».