Кіберзлочинці отримали доступ до повнофункціональної зброї проти банківської системи. Дослідники Hunt Intelligence виявили масштабну утечку вихідного коду банківського трояну ERMAC версії 3.0, призначеного для Android-пристроїв. Ця подія створює безпрецедентну загрозу для фінансових установ та мільйонів користувачів мобільних пристроїв по всьому світу.
Еволюція небезпечного банківського трояну
Банківський троян ERMAC вперше потрапив до поля зору експертів з кібербезпеки у вересні 2021 року. Розробка належить кіберзлочинцю під псевдонімом DukeEugene, який створив ERMAC на основі коду попередніх банківських троянів Cerberus та BlackRock. Спочатку вредонос демонстрував здатність проводити overlay-атаки проти сотень банківських та криптовалютних додатків.
Поточна версія ERMAC 3.0 представляє кардинальну еволюцію шкідливого програмного забезпечення. Троян розширив свої можливості для атак на понад 700 банківських, торгових та криптовалютних додатків, перетворившись на потужну платформу “Malware-as-a-Service” (MaaS).
Технічні деталі критичної утечки
У березні 2024 року фахівці Hunt Intelligence отримали повний доступ до вихідного коду трояну, виявивши архів Ermac 3.0.zip у відкритій директорії за адресою 141.164.62[.]236:443. Утечка включає декілька критично важливих компонентів інфраструктури злочинної мережі.
Архітектура шкідливої платформи
Бекенд керуючого сервера побудований на PHP та Laravel, надаючи операторам ERMAC повний контроль над зараженими пристроями. Система забезпечує доступ до скомпрометованих даних, включаючи SMS-повідомлення, викрадені облікові записи та інформацію про заражені пристрої.
React-фронтенд панель служить інтерфейсом для взаємодії з підключеними пристроями, дозволяючи зловмисникам віддавати команди та керувати overlay-атаками. Golang-сервер для вилучення даних спеціалізується на ексфільтрації викраденої інформації, забезпечуючи ефективну обробку великих обсягів конфіденціальних даних.
Android-компоненти шкідливого ПЗ
Основний бекдор ERMAC написаний мовою Kotlin та забезпечує повний контроль над зараженим пристроєм. Цікавою особливістю є вбудований захисний механізм, який запобігає зараженню пристроїв у країнах СНГ, включаючи Україну.
Білдер ERMAC являє собою інструмент для клієнтів, що дозволяє налаштовувати та створювати власні збірки для проведення шкідливих кампаній з індивідуальними параметрами додатків і серверів.
Розширені можливості ERMAC 3.0
Оновлена версія трояну включає розширений набір цільових додатків та вдосконалені методи впровадження форм. Особливу увагу розробники приділили безпеці комунікацій, впровадивши AES-CBC шифрування для захисту трафіку між зараженими пристроями та керуючими серверами.
Модернізована command-and-control панель надає зловмисникам більш гнучкі інструменти для координації атак та управління мережею заражених пристроїв.
Виявлені уразливості в інфраструктурі
Аналіз витекших даних розкрив численні критичні слабкості в архітектурі платформи. Серед найсерйозніших проблем дослідники відзначають захардкоджений JWT-секрет, статичний адміністративний bearer-токен, використання облікових даних root за замовчуванням та відкриту реєстрацію в адміністративній панелі.
Ці уразливості створюють можливості для фахівців з кібербезпеки відстежувати, виявляти та переривати активні операції ERMAC, надаючи конкретні методи протидії загрозі.
Організаціям рекомендується негайно посилити моніторинг банківських транзакцій, впровадити додаткові рівні аутентифікації та оновити системи виявлення шкідливого ПЗ. Користувачам Android-пристроїв слід бути особливо обережними при встановленні додатків з невідомих джерел та регулярно оновлювати антивірусне програмне забезпечення для захисту від нових методів атак ERMAC 3.0.
