Утечка исходного кода банковского трояна ERMAC V3.0 раскрывает всю инфраструктуру вредоносного ПО

0
Утечка исходного кода банковского трояна ERMAC V3.0 раскрывает всю инфраструктуру вредоносного ПО

Исследователи кибербезопасности подробно рассмотрели внутреннюю работу банковского трояна Android под названием ERMAC 3.0, выявив серьезные недостатки в инфраструктуре операторов.

«Недавно обнаруженная версия 3.0 демонстрирует существенную эволюцию вредоносного ПО, расширяя его возможности по внедрению форм и краже данных для охвата более 700 банковских, торговых и криптовалютных приложений», — говорится в отчете Hunt.io.

ERMAC был впервые описан ThreatFabric в сентябре 2021 года, где подробно описывалась его способность проводить оверлейные атаки на сотни банковских и криптовалютных приложений по всему миру. Угрозу приписывают злоумышленнику по имени DukeEugene, и она считается развитием Cerberus и BlackRock.

Другие часто встречающиеся семейства вредоносных программ , включая Hook (ERMAC 2.0), Pegasus и Loot, имеют общую родословную: предка в лице ERMAC, компоненты исходного кода которого передавались и модифицировались на протяжении поколений.

Hunt.io заявила, что ей удалось получить полный исходный код, связанный с предложением вредоносного ПО как услуги (MaaS), из открытого каталога на 141.164.62[.]236:443, включая его бэкэнд на PHP и Laravel, фронтэнд на базе React, сервер эксфильтрации Golang и панель конструктора Android.

Функции каждого из компонентов перечислены ниже:

  • Внутренний сервер C2 — предоставляет операторам возможность управлять устройствами жертв и получать доступ к скомпрометированным данным, таким как журналы SMS, украденные учетные записи и данные устройств.
  • Панель управления — позволяет операторам взаимодействовать с подключенными устройствами, отдавая команды, управляя наложениями и получая доступ к украденным данным.
  • Сервер эксфильтрации — сервер Golang, используемый для эксфильтрации украденных данных и управления информацией, связанной со скомпрометированными устройствами.
  • Бэкдор ERMAC — вредоносная программа для Android, написанная на языке Kotlin, которая позволяет контролировать скомпрометированное устройство и собирать конфиденциальные данные на основе входящих команд с сервера C2, гарантируя при этом, что заражение не коснется устройств, расположенных в странах Содружества Независимых Государств (СНГ).
  • ERMAC Builder — инструмент, помогающий клиентам настраивать и создавать сборки для своих вредоносных кампаний, предоставляя имя приложения, URL-адрес сервера и другие параметры для бэкдора Android.

Помимо расширенного набора целевых приложений, ERMAC 3.0 добавляет новые методы внедрения форм, переработанную панель управления и контроля (C2), новый бэкдор Android и зашифрованные сообщения AES-CBC.

«Утечка выявила критические уязвимости, такие как жёстко запрограммированный секретный JWT и статический токен администратора, учётные данные root по умолчанию и открытая регистрация учётных записей в панели администратора», — заявила компания. «Сопоставляя эти уязвимости с действующей инфраструктурой ERMAC, мы предоставляем специалистам по безопасности конкретные способы отслеживания, обнаружения и прерывания активных операций».

About The Author

Добавить комментарий