Pesquisadores de cibersegurança detalharam os mecanismos internos de um trojan bancário para Android chamado ERMAC 3.0, revelando graves deficiências na infraestrutura dos operadores.
"A versão 3.0 recém-descoberta revela uma evolução significativa do malware, expandindo suas capacidades de injeção de formulários e roubo de dados para atingir mais de 700 aplicativos de bancos, compras e criptomoedas," disse Hunt.io em um relatório.
ERMAC foi documentado pela primeira vez pela ThreatFabric em setembro de 2021, detalhando sua capacidade de conduzir ataques de sobreposição contra centenas de aplicativos bancários e de criptomoedas ao redor do mundo.
Atribuído a um ator de ameaça chamado DukeEugene, é avaliado como uma evolução do Cerberus e do BlackRock.
Outras famílias de malware comumente observadas – incluindo Hook (ERMAC 2.0), Pegasus e Loot – possuem uma linhagem compartilhada: um ancestral na forma de ERMAC do qual componentes de código-fonte foram transmitidos e modificados através das gerações.
Hunt.io disse que conseguiu obter o código-fonte completo associado à oferta de malware-as-a-service (MaaS) de um diretório aberto em 141.164.62[.]236:443, incluindo seu backend PHP e Laravel, frontend baseado em React, servidor de exfiltração em Golang e painel de construção Android.
As funções de cada um dos componentes são listadas abaixo:
- Servidor C2 backend - Fornece aos operadores a capacidade de gerenciar dispositivos vítimas e acessar dados comprometidos, como logs de SMS, contas roubadas e dados de dispositivos.
- Painel frontend - Permite que os operadores interajam com dispositivos conectados emitindo comandos, gerenciando sobreposições e acessando dados roubados.
- Servidor de exfiltração - Um servidor em Golang usado para exfiltrar dados roubados e gerenciar informações relacionadas a dispositivos comprometidos.
- Backdoor ERMAC - Um implante Android escrito em Kotlin que oferece a capacidade de controlar o dispositivo comprometido e coletar dados sensíveis com base em comandos recebidos do servidor C2, garantindo que as infecções não afetem dispositivos localizados nos países da Comunidade dos Estados Independentes (CEI).
- Construtor ERMAC - Uma ferramenta para ajudar clientes a configurar e criar construções para suas campanhas de malware, fornecendo o nome do aplicativo, URL do servidor e outras configurações para o backdoor Android.
Além de um conjunto expandido de alvos de aplicativos, ERMAC 3.0 adiciona novos métodos de injeção de formulários, um painel de comando-e-controle (C2) reformulado, um novo backdoor Android e comunicações criptografadas com AES-CBC.
"A exposição revelou fraquezas críticas, como um segredo JWT hardcoded e um token de portador de admin estático, credenciais padrão de root, e registro de conta aberto no painel administrativo," disse a empresa.
"Correlacionando estas falhas com a infraestrutura ativa do ERMAC, fornecemos aos defensores maneiras concretas de rastrear, detectar e interromper operações ativas."
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...