„ERMAC Android Banking Trojan“ 3 versijos šaltinio kodas buvo nutekintas internete, atskleidžiant kenkėjiškų programų, kaip paslaugų platformos, vidaus ir operatoriaus infrastruktūros vidų.
Kodų bazę „Hunt.io“ tyrėjai aptiko atvirame kataloge, nuskaitydami atskleistus išteklius 2024 m. Kovo mėn.
Jie rado archyvą pavadinimu „Emac 3.0.zip“, kuriame buvo kenkėjiškos programos kodas, įskaitant „Backend“, „Frontend“ (skydą), „Exfiltration Server“, diegimo konfigūracijas ir „Trojan“ statytoją ir kliūtį.
Tyrėjai išanalizavo kodą ir sužinojo, kad jis žymiai išplėtė taikymo galimybes, palyginti su ankstesnėmis versijomis, turint daugiau nei 700 bankininkystės, apsipirkimo ir kriptovaliutų programų.
Pirmą kartą ERMAC dokumentavo 2021 m. Rugsėjo mėn. „Gredfabric“ – internetinių mokėjimų sukčiavimo sprendimų ir žvalgybos finansinių paslaugų sektoriuje teikėjas, kaip „Cerberus Banking Trojan“, kurį valdo grėsmės aktorius, žinomas kaip „BlackRock“, evoliucija.
„ERMAC V2.0“ buvo pastebėjo ESET 2022 m. Gegužės mėn., Išsinuomotas „CyberCriminals“ už 5000 USD mėnesinį mokestį ir nukreiptas į 467 programas, palyginti su 378 ankstesnėje versijoje.
2023 m. Sausio mėn. „Greatfabric“ pastebėjo, kad „BlackRock“ reklamuoja naują „Android“ kenkėjiškų programų įrankį pavadinimu „Hook“, kuris, atrodo, buvo ERMAC evoliucija.
ERMAC V3.0 galimybės
„Hunt.io“ rado ir išanalizavo ERMAC PHP komandų ir kontrolės (C2) užpakalinę dalį, „React Front-End“ skydelį, GO pagrįstą „Exfiltration Server“, „Kotlin Backdoor“ ir „Builder“ skydelį, skirtą generuoti pasirinktinius trojanizuotus APK.
Tyrėjų teigimu, „ERMAC V3.0“ dabar nukreipta į neskelbtiną vartotojo informaciją daugiau nei 700 programose.

Šaltinis: Hunt.io
Be to, naujausia versija išplečia anksčiau dokumentais patvirtintus formos ir injekcijos metodus, naudoja AES-CBC šifruotai ryšiams, pasižymi kapitaliniu remontu ir padidina duomenų vagysčių ir įrenginio valdymą.
Tiksliau, „Hunt.io“ užfiksavo šias naujausios ERMAC leidimo galimybes:
- SMS, kontaktų ir registruotų sąskaitų vagystės
- „Gmail“ subjektų ir pranešimų išgavimas
- Failų prieiga per „List“ ir „Download“ komandas
- SMS siuntimo ir skambučių peradresavimas dėl piktnaudžiavimo komunikacija
- Nuotrauka, fiksuojanti per priekinę kamerą
- Visas programų valdymas (paleidimas, pašalinimas, „Clear Cache“)
- Parodyti netikrus apgaulės pranešimus
- Pašalinkite nuotoliniu būdu („KillMe“) už vengimą
Atskleista infrastruktūra
„Hunt.io“ analitikai naudojo SQL užklausas, kad nustatytų tiesioginę, veikiančią infrastruktūrą, kurią šiuo metu naudoja grėsmės veikėjai, nustatydami C2 galinius taškus, skydelius, eksfiltracijos serverius ir statytojų diegimus.

Šaltinis: Hunt.io
„ERMAC“ operatoriai ne tik atskleidė kenkėjiškų programų šaltinio kodą, bet ir turėjo keletą kitų pagrindinių OPSEC gedimų, įskaitant koditus JWT žetonus, numatytuosius šaknies kredencialus ir be registracijos apsaugos administratoriaus skydelyje, leidžiant bet kam pasiekti, manipuliuoti ar sutrikdyti ERMAC skydelius.
Galiausiai skydeliai, antraštės, paketų pavadinimai ir įvairūs kiti operatyviniai pirštų atspaudai mažai abejojo ir padarė daug lengviau.

Šaltinis: Hunt.io
„ERMAC V3.0“ šaltinio kodo nutekėjimas susilpnina kenkėjiškų programų operaciją, pirmiausia panaikindamas klientų pasitikėjimą „Maa“, kad jis galėtų apsaugoti informaciją nuo teisėsaugos arba leisti vykdyti kampanijas, kuriose rizika aptikti mažą.
Grėsmės aptikimo sprendimai taip pat greičiausiai geriau pastebės ERMAC. Tačiau jei šaltinio kodas patenka į kitų grėsmės veikėjų rankas, būsimuose modifikuotuose ERMAC variantuose įmanoma pastebėti, kuriuos sunkiau nustatyti.
46% aplinkos slaptažodžiai buvo nulaužti, beveik padvigubėjo nuo 25% pernai.
Dabar gaukite „Picus Blue Report 2025“, kad galėtumėte išsamiai įvertinti daugiau išvadų apie prevencijos, aptikimo ir duomenų eksfiltravimo tendencijas.