Los investigadores de ciberseguridad han detallado el funcionamiento interno de un troyano de banca Android llamado ERMAC 3.0, descubriendo deficiencias serias en la infraestructura de los operadores.
«La versión 3.0 recientemente descubierta revela una evolución significativa del malware, ampliando sus capacidades de inyección y robo de datos para apuntar a más de 700 aplicaciones de banca, compras y criptomonedas», dijo Hunt.io en un informe.
Ermac fue documentado por primera vez por Denacefabric en septiembre de 2021, detallando su capacidad para realizar ataques superpuestos contra cientos de aplicaciones bancarias y de criptomonedas en todo el mundo. Atribuido a un actor de amenaza llamado Dukeeugene, se evalúa como una evolución de Cerberus y BlackRock.
Otras familias de malware comúnmente observadas, incluido Hook (ERMAC 2.0), Pegaso y botín, poseen un linaje compartido: un antepasado en forma de ERMAC a partir de la cual los componentes del código fuente se han transmitido y modificado a través de generaciones.
Hunt.io dijo que logró obtener el código fuente completo asociado con la oferta de malware como servicio (MAAS) desde un directorio abierto en 141.164.62 (.) 236: 443, hasta su backend de PHP y Laravel, el servidor de exfiltración Golang basado en React, el servidor de exfiltración Golang y el Android Builder.
Las funciones de cada uno de los componentes se enumeran a continuación –
- Backend C2 Server: proporciona a los operadores la capacidad de administrar dispositivos de víctimas y acceder a datos comprometidos, como registros de SMS, cuentas robadas y datos del dispositivo
- Panel Frontend: permite a los operadores interactuar con dispositivos conectados emitiendo comandos, administrando superposiciones y acceder a datos robados
- Exfiltration Server: un servidor Golang utilizado para exfiltrar datos robados y administrar información relacionada con dispositivos comprometidos
- Ermac Backdoor: un implante de Android escrito en Kotlin que ofrece la capacidad de controlar el dispositivo comprometido y recopilar datos confidenciales basados en comandos entrantes del servidor C2, al tiempo que garantiza que las infecciones no toquen dispositivos ubicados en la comunidad de estados independientes (CIS) naciones.
- ERMAC Builder: una herramienta para ayudar a los clientes a configurar y crear compilaciones para sus campañas de malware al proporcionar el nombre de la aplicación, la URL del servidor y otras configuraciones para la puerta trasera de Android
Además de un conjunto ampliado de objetivos APP, ERMAC 3.0 agrega nuevos métodos de inyección de formulario, un panel revisado de comando y control (C2), una nueva puerta trasera de Android y comunicaciones encriptadas AES-CBC.
«La fuga reveló debilidades críticas, como un secreto JWT codificado y un token de portador administrativo estático, credenciales raíz predeterminadas y registro de cuentas abiertas en el panel de administración», dijo la compañía. «Al correlacionar estas fallas con la infraestructura ERMAC en vivo, proporcionamos a los defensores formas concretas de rastrear, detectar e interrumpir las operaciones activas».
