В сеть попал исходный код версии 3 банковского трояна ERMAC для Android, раскрыв внутреннюю часть платформы вредоносного ПО как услуги и инфраструктуру оператора.
База кода была обнаружена в открытом каталоге во время сканирования открытых ресурсов в марте 2024 года.
Они обнаружили архив с именем Ermac 3.0.zip, содержащий код вредоносного ПО, включая бэкэнд, фронтэнд (панель), сервер эксфильтрации, конфигурации развертывания, а также конструктор и обфускатор трояна.
Исследователи проанализировали код и обнаружили, что он значительно расширил возможности таргетинга по сравнению с предыдущими версиями, охватить более 700 приложений для банковских операций, покупок и криптовалюты.
ERMAC был в сентябре 2021 года компанией ThreatFabric — поставщиком решений и аналитики для сектора финансовых услуг в области противодействия мошенничеству с онлайн-платежами. Он представлял собой эволюцию банковского трояна Cerberus, эксплуатируемого злоумышленником, известным как «BlackRock».
ERMAC v2.0 был обнаружен компанией ESET в мае 2022 года. Он предоставлялся киберпреступникам в аренду за ежемесячную плату в размере 5000 долларов США и , тогда как в предыдущей версии их было 378.
В январе 2023 года ThreatFabric заметил, что BlackRock продвигает новый вредоносный инструмент для Android под названием , который, по всей видимости, представляет собой эволюцию ERMAC.
Возможности ERMAC v3.0
Hunt.io обнаружил и проанализировал PHP-бэкэнд командно-управляющей системы (C2) ERMAC, фронтэнд-панель React, сервер эксфильтрации на базе Go, бэкдор Kotlin и панель конструктора для создания пользовательских троянизированных APK-файлов.
По словам исследователей, ERMAC v3.0 теперь атакует конфиденциальную информацию пользователей в более чем 700 приложениях.
Источник: Hunt.io
Кроме того, последняя версия расширяет ранее задокументированные методы внедрения форм, использует AES-CBC для зашифрованной связи, включает переработанную панель оператора и улучшает защиту от кражи данных и контроль устройств.
В частности, Hunt.io задокументировал следующие возможности последней версии ERMAC:
- Кража СМС, контактов и зарегистрированных аккаунтов
- Извлечение тем и сообщений Gmail
- Доступ к файлам с помощью команд «list» и «download»
- Отправка SMS и переадресация звонков с целью злоупотребления связью
- Фотосъемка с помощью фронтальной камеры
- Полное управление приложениями (запуск, удаление, очистка кэша)
- Демонстрация поддельных push-уведомлений с целью обмана
- Удаляет удаленно (killme) для обхода блокировки
Инфраструктура открыта
Аналитики Hunt.io использовали SQL-запросы для выявления активной, уязвимой инфраструктуры, которая в настоящее время используется злоумышленниками, выявляя конечные точки C2, панели, серверы эксфильтрации и развертывания конструкторов.
Источник: Hunt.io
Помимо раскрытия исходного кода вредоносного ПО, операторы ERMAC допустили ряд других серьезных сбоев в системе безопасности, включая жестко запрограммированные токены JWT, учетные данные root по умолчанию и отсутствие защиты регистрации на панели администратора, что позволяло любому человеку получать доступ к панелям ERMAC, манипулировать ими или нарушать их работу.
Наконец, названия панелей, заголовки, названия пакетов и различные другие эксплуатационные отпечатки пальцев не оставляли сомнений относительно атрибуции и значительно упрощали обнаружение и картографирование инфраструктуры.
Источник: Hunt.io
Утечка исходного кода ERMAC V3.0 ослабляет работу вредоносного ПО, в первую очередь за счет подрыва доверия клиентов к MaaS и его способности защищать информацию от правоохранительных органов или позволять проводить кампании с низким риском обнаружения.
Решения по обнаружению угроз, вероятно, также станут эффективнее выявлять ERMAC. Однако, если исходный код попадёт в руки других злоумышленников, в будущем можно будет наблюдать появление модифицированных версий ERMAC, которые будет сложнее обнаружить.
