Утечка исходного кода Android-трояна ERMAC 3.0 раскрыла его слабости

Эксперты по кибербезопасности обнаружили новую итерацию банковского трояна ERMAC, выявив не только улучшенные возможности, но и значительные упущения в архитектуре его создателей. ERMAC 3.0 теперь способен атаковать более 700 различных приложений, включая банковские сервисы, онлайн-магазины и криптокошельки. Атака осуществляется посредством фишинговых форм, собирающих конфиденциальную информацию, а также модернизированной системы управления и обновленного бэкдора для Android. Интересно, что заражения не происходят на устройствах, находящихся в странах СНГ, что свидетельствует о преднамеренных исключениях в коде.

По информации Hunt.io, специалистам удалось получить полный исходный код сервиса, распространяемого как “вредоносное ПО как услуга”. Среди компонентов обнаружены C2-сервер на PHP и Laravel, панель управления с интерфейсом на React, сервер для передачи украденных данных на Go и инструмент для создания зараженных Android-приложений.

Внутри кода выявлено множество ошибок. В частности, присутствуют жестко закодированные секретные данные: статический токен администратора, ключ JWT и стандартные учетные записи с правами root. Более того, административная панель позволяла беспрепятственно создавать новые учетные записи. По мнению Hunt.io, эти недочеты облегчают специалистам по безопасности отслеживание и нейтрализацию активных кампаний, использующих ERMAC 3.0.

ERMAC известен с 2021 года и считается потомком Cerberus и BlackRock. В дальнейшем на его основе были созданы другие вредоносные программы, включая Hook (ранее ERMAC 2.0), Pegasus и Loot. Этот инцидент подчеркивает, что даже в киберпреступной среде “сервисная модель” не всегда лишена недостатков. Стоит отметить, что у ERMAC есть преемник – троян Hook, который обладает значительно расширенным набором команд, функциями трансляции экрана и возможностью взаимодействия с пользовательским интерфейсом.