Operatorii din spatele malware-ului de mobil BlackRock au ieșit la suprafață cu un nou troian bancar Android numit ERMAC care vizează Polonia și care, potrivit ultimelor cercetări, își are rădăcinile în infamul malware Cerberus.
„Noul troian are deja campanii de distribuție active și vizează 378 de aplicații bancare și de portofel electronic”, a declarat CEO-ul ThreatFabric, Cengiz Han Sahin, într-o declarație prin e-mail. Se crede că primele campanii care implică ERMAC au început la sfârșitul lunii august sub masca aplicației Google Chrome.
De atunci, atacurile s-au extins pentru a include o serie de aplicații, cum ar fi servicii bancare, playere media, servicii de livrare, aplicații guvernamentale și soluții antivirus precum McAfee.
Aproape pe deplin bazate pe cunoscutul troian bancar Cerberus, concluziile firmei olandeze de securitate cibernetică provin din postările de pe forum făcute de un actor numit DukeEugene luna trecută, pe 17 august, care invita clienții potențiali să „închirieze un nou botnet Android cu funcționalitate largă unui cerc restrâns de oameni” pentru 3.000 de dolari pe lună.
DukeEugene este, de asemenea, cunoscut ca actorul din spatele campaniei BlackRock care a ieșit la iveală în iulie 2020. Dispunând de o serie de capabilități de furt de date, infostealerul și keylogger-ul provin dintr-o altă tulpină bancară numită Xerxes – care în sine este o tulpină a troianului bancar Android LokiBot – cu codul sursă al malware-ului făcut public de autorul său în mai 2019.
Codul sursă al Cerberus – lansat ca un troian de acces la distanță gratuit (RAT) – a apărut pe forumurile de hacking darknet în urma unei licitații nereușite care urmărea să aducă 100.000 USD pentru cel care l-a dezvoltat.
ThreatFabric a subliniat, de asemenea, că s-a observat reducerea „urmelor proaspete” de BlackRock de la apariția ERMAC, ridicând posibilitatea ca „DukeEugene să treacă de la utilizarea BlackRock în operațiunile sale la ERMAC”. Pe lângă împărtășirea asemănărilor cu Cerberus, tulpina proaspăt descoperită se remarcă prin utilizarea tehnicilor de ofuscare și a schemei de criptare Blowfish pentru a comunica cu serverul de comandă și control.
ERMAC, la fel ca progenitorul său și alte programe malware bancare, este conceput pentru a fura informații de contact, mesaje text, deschide aplicații arbitrare și pentru a declanșa atacuri suprapuse împotriva unei multitudini de aplicații financiare pentru a trece de acreditările de conectare. În plus, a dezvoltat noi funcții care permit software-ului rău intenționat să șteargă memoria cache a unei anumite aplicații și să fure conturile stocate pe dispozitiv.
„Povestea ERMAC arată încă o dată cum scurgerile de cod sursă ale diverselor aplicații malițioase pot duce nu numai la evaporarea lentă a familiei de malware, ci și la aducerea de noi amenințări / actori în peisajul amenințărilor”, au spus cercetătorii. „Deși îi lipsesc unele caracteristici puternice precum RAT (Remote Access Tool), rămâne o amenințare pentru utilizatorii de servicii de telefonie mobilă și instituțiile financiare din întreaga lume.”
Imago mundi 