Эксперты компании Hunt Intelligence выявили критическую утечку исходного кода банковского трояна ERMAC версии 3.0, предназначенного для операционной системы Android. Данное событие представляет серьезную угрозу для мирового банковского сектора и пользователей мобильных устройств, поскольку злоумышленники получили доступ к полнофункциональной платформе «Малварь-как-услуга» (MaaS).
История развития банковского трояна ERMAC
Впервые банковский троян ERMAC был идентифицирован специалистами ThreatFabric в сентябре 2021 года. Изначально вредонос демонстрировал способность проводить overlay-атаки против сотен банковских и криптовалютных приложений по всему миру. Разработка трояна приписывается киберпреступнику, известному под псевдонимом DukeEugene, который создал ERMAC на основе кода предыдущих банковских троянов Cerberus и BlackRock.
Текущая версия ERMAC 3.0 демонстрирует значительную эволюцию вредоносного программного обеспечения, расширив свои возможности для атак на более чем 700 банковских, торговых и криптовалютных приложений.
Детали обнаруженной утечки
В марте 2024 года исследователи Hunt Intelligence получили полный доступ к исходному коду трояна, обнаружив архив Ermac 3.0.zip в открытой директории по адресу 141.164.62[.]236:443. Утечка включает в себя несколько критически важных компонентов инфраструктуры:
Архитектура вредоносной платформы
Бэкенд управляющего сервера построен на PHP и Laravel, предоставляя операторам ERMAC полный контроль над зараженными устройствами. Система обеспечивает доступ к скомпрометированным данным, включая SMS-сообщения, украденные учетные записи и информацию о зараженных устройствах.
React-фронтенд панель служит интерфейсом для взаимодействия с подключенными устройствами, позволяя злоумышленникам отдавать команды, управлять overlay-атаками и получать доступ к украденным данным.
Golang-сервер для извлечения данных специализируется на эксфильтрации украденной информации и управлении данными о скомпрометированных устройствах, обеспечивая эффективную обработку больших объемов конфиденциальной информации.
Android-компоненты вредоноса
Основной бэкдор ERMAC написан на языке Kotlin и обеспечивает полный контроль над зараженным устройством. Примечательно, что разработчики встроили защитный механизм, предотвращающий заражение устройств в странах СНГ.
Билдер ERMAC представляет собой инструмент для клиентов, позволяющий настраивать и создавать собственные сборки для проведения вредоносных кампаний с индивидуальными параметрами приложений и серверов.
Новые возможности ERMAC 3.0
Обновленная версия трояна включает расширенный набор целевых приложений, усовершенствованные методы внедрения форм и модернизированную command-and-control панель. Особое внимание разработчики уделили безопасности коммуникаций, внедрив AES-CBC шифрование для защиты трафика между зараженными устройствами и управляющими серверами.
Критические уязвимости в инфраструктуре
Анализ утекших данных выявил множественные критические слабости в архитектуре платформы. Среди наиболее серьезных проблем исследователи отмечают захардкоженный JWT-секрет, статический административный bearer-токен, использование учетных данных root по умолчанию и открытую регистрацию в административной панели.
Эти уязвимости создают возможности для специалистов по кибербезопасности отслеживать, обнаруживать и прерывать активные операции ERMAC, предоставляя конкретные методы противодействия угрозе. Организациям рекомендуется немедленно усилить мониторинг банковских транзакций, внедрить дополнительные уровни аутентификации и обновить системы обнаружения вредоносного ПО для защиты от новых методов атак ERMAC 3.0.
