Los investigadores de ciberseguridad han detallado el funcionamiento interno de un troyano de banca Android llamado ERMAC 3.0, descubriendo deficiencias serias en la infraestructura de los operadores.
“La traducción 3.0 recientemente descubierta revela una transformación significativa del malware, ampliando sus capacidades de inyección y robo de datos para apuntar a más de 700 aplicaciones de banca, compras y criptomonedas”, dijo Hunt.io en un referencia.
Ermac fue documentado por primera vez por Denacefabric en septiembre de 2021, detallando su capacidad para realizar ataques superpuestos contra cientos de aplicaciones bancarias y de criptomonedas en todo el mundo. Atribuido a un actor de amenaza llamado Dukeeugene, se evalúa como una transformación de Cerberus y BlackRock.
Otras familias de malware comúnmente observadas, incluido Hook (ERMAC 2.0), Pegaso y presa, poseen un categoría compartido: un antepasado en forma de ERMAC a partir de la cual los componentes del código fuente se han transmitido y modificado a través de generaciones.
Hunt.io dijo que logró obtener el código fuente completo asociado con la propuesta de malware como servicio (MAAS) desde un directorio franco en 141.164.62 (.) 236: 443, hasta su backend de PHP y Laravel, el servidor de exfiltración Golang basado en React, el servidor de exfiltración Golang y el Android Builder.
Las funciones de cada uno de los componentes se enumeran a continuación –
- Backend C2 Server: proporciona a los operadores la capacidad de establecer dispositivos de víctimas y obtener a datos comprometidos, como registros de SMS, cuentas robadas y datos del dispositivo
- Panel Frontend: permite a los operadores interactuar con dispositivos conectados emitiendo comandos, administrando superposiciones y obtener a datos robados
- Exfiltration Server: un servidor Golang utilizado para exfiltrar datos robados y establecer información relacionada con dispositivos comprometidos
- Ermac Backdoor: un implante de Android escrito en Kotlin que ofrece la capacidad de controlar el dispositivo comprometido y compilar datos confidenciales basados en comandos entrantes del servidor C2, al tiempo que garantiza que las infecciones no toquen dispositivos ubicados en la comunidad de estados independientes (CIS) naciones.
- ERMAC Builder: una utensilio para ayudar a los clientes a configurar y crear compilaciones para sus campañas de malware al proporcionar el nombre de la aplicación, la URL del servidor y otras configuraciones para la puerta trasera de Android
Encima de un conjunto ampliado de objetivos APP, ERMAC 3.0 agrega nuevos métodos de inyección de formulario, un panel revisado de comando y control (C2), una nueva puerta trasera de Android y comunicaciones encriptadas AES-CBC.
“La fuga reveló debilidades críticas, como un secreto JWT codificado y un token de portador funcionario inmutable, credenciales raíz predeterminadas y registro de cuentas abiertas en el panel de agencia”, dijo la compañía. “Al correlacionar estas fallas con la infraestructura ERMAC en vivo, proporcionamos a los defensores formas concretas de rastrear, detectar e interrumpir las operaciones activas”.
