Los investigadores de Hunt Intelligence han descubierto una filtración masiva del código fuente del troyano bancario ERMAC 3.0, diseñado específicamente para dispositivos Android. Este incidente representa una amenaza sin precedentes para las instituciones financieras globales y millones de usuarios móviles, ya que los ciberdelincuentes ahora tienen acceso completo a una sofisticada plataforma de «Malware como Servicio» (MaaS).
Evolución del Malware Bancario ERMAC
El troyano bancario ERMAC fue identificado inicialmente por especialistas de ThreatFabric en septiembre de 2021. Desde su aparición, este malware bancario avanzado ha demostrado capacidades excepcionales para ejecutar ataques de superposición (overlay attacks) contra cientos de aplicaciones bancarias y de criptomonedas en todo el mundo.
El desarrollo de ERMAC se atribuye al cibercriminal conocido como DukeEugene, quien construyó esta amenaza sobre la base de códigos previos de los troyanos Cerberus y BlackRock. La versión actual, ERMAC 3.0, representa una evolución significativa del malware original, ampliando sus capacidades de ataque a más de 700 aplicaciones bancarias, comerciales y de criptomonedas.
Análisis Técnico de la Filtración
En marzo de 2024, los investigadores obtuvieron acceso completo al código fuente del troyano tras descubrir el archivo «Ermac 3.0.zip» en un directorio abierto ubicado en la dirección IP 141.164.62[.]236:443. Esta filtración crítica expone varios componentes esenciales de la infraestructura maliciosa.
Componentes de la Infraestructura Maliciosa
La arquitectura de ERMAC 3.0 revela un sistema altamente sofisticado compuesto por múltiples elementos interconectados. El servidor backend de control está desarrollado en PHP y Laravel, proporcionando a los operadores control total sobre dispositivos infectados, incluyendo acceso a mensajes SMS, credenciales robadas e información detallada de dispositivos comprometidos.
El panel frontal desarrollado en React funciona como interfaz principal para interactuar con dispositivos conectados, permitiendo a los atacantes ejecutar comandos, gestionar ataques de superposición y acceder a datos robados. Complementando esta estructura, un servidor Golang especializado maneja la extracción de datos, optimizando el procesamiento de grandes volúmenes de información confidencial.
Características del Malware para Android
El backdoor principal de ERMAC está programado en Kotlin y proporciona control completo sobre dispositivos infectados. Curiosamente, los desarrolladores implementaron un mecanismo de protección que previene la infección de dispositivos en países de la Comunidad de Estados Independientes (CEI).
El «Builder ERMAC» representa una herramienta cliente que permite a los usuarios personalizar y crear versiones específicas para campañas maliciosas, ofreciendo parámetros configurables para aplicaciones y servidores según necesidades particulares.
Capacidades Avanzadas de ERMAC 3.0
La versión actualizada incorpora un arsenal expandido de aplicaciones objetivo, métodos de inyección de formularios mejorados y un panel de comando y control modernizado. Los desarrolladores priorizaron la seguridad de las comunicaciones implementando cifrado AES-CBC para proteger el tráfico entre dispositivos infectados y servidores de control.
Vulnerabilidades Críticas Identificadas
El análisis del código filtrado reveló múltiples debilidades críticas en la arquitectura de la plataforma. Entre las fallas más graves se encuentran: un secreto JWT codificado directamente en el código, un token administrativo bearer estático, credenciales root predeterminadas y registro abierto en el panel administrativo.
Estas vulnerabilidades proporcionan oportunidades valiosas para que los profesionales de ciberseguridad rastreen, detecten e interrumpan operaciones activas de ERMAC, ofreciendo métodos específicos para contrarrestar esta amenaza.
Las organizaciones deben implementar inmediatamente medidas de seguridad reforzadas, incluyendo monitoreo intensificado de transacciones bancarias, autenticación multifactor adicional y actualización de sistemas de detección de malware para defenderse contra las nuevas técnicas de ataque de ERMAC 3.0. La colaboración entre instituciones financieras y equipos de ciberseguridad será fundamental para mitigar el impacto de esta filtración crítica.
