En ny trojansk mobilbank er netop dukket op. Kaldes ERMAC, malware ser ud til at være opfundet af BlackRock -cyberkriminelle og er baseret på rødderne af den berygtede Cerberus.
”Hvis vi undersøger ERMAC, vi kan finde ud af, at ERMAC er en kodemæssig arver af en velkendt malware Cerberus. Den bruger næsten identiske datastrukturer ved kommunikation med C2, den bruger de samme strengdata, et cetera,”Sagde ThreatFabric. Forskernes første indtryk var, at den nye trojaner er en anden variant af Cerberus. På trods af at have et andet navn og bruge forskellige tilsløringsteknikker og en ny strengkryptering, ERMAC er en anden Cerberus-baseret trojan, forskerne opdaget.
ERMAC Android Trojan: Oversigt
Forskellen med den originale Cerberus er, at ERMAC anvender et andet krypteringsskema, når de kommunikerer med kommando-og-styringsserveren. Dataene er krypteret med AES-128-CBC, og præpareret med dobbelt ord, der indeholder længden af de kodede data, hedder det i rapporten.
En bestemt forbindelse til BlackRock-malware-operatørerne er brugen af den samme IP-adresse som kommando-og-kontrol.
Det er bemærkelsesværdigt, at på trods af at det er nyt, trojanen er allerede distribueret i aktive kampagner og målretning 378 bank- og tegnebogsapps med overlays. De første kampagner blev sandsynligvis igangsat i slutningen af august 2021. Angrebene er nu udvidet, herunder mange apps som f.eks. bank, medieafspillere, offentlige apps, antivirus løsninger.
Ifølge det hollandske cybersikkerhedsfirma, de lagde først mærke til trojaneren i forumindlæg af en trusselsaktør ved navn DukeEugene. Spilleren annoncerede det nye Android -botnet til potentielle kunder for $3,000 en måned. Den samme trusselsaktør stod bag BlackRock -kampagnen fra sidste år.
”Vi mener, at DukeEugene skiftede fra at bruge BlackRock i sin drift til ERMAC, da vi ikke længere så friske BlackRock -prøver siden de første omtaler af ERMAC. En af årsagerne bag det kan være, at BlackRock blev diskrediteret: DukeEugene hævdede på forummet, at en af de købere, der fik deres bot til test, begyndte at snyde folk, der annoncerede det som en ny Amplebot -banktrojan. Navnet blev taget fra BlackRocks adminpanel, som blev bygget ved hjælp af AmpleAdmin -skabelonen, og skuespillerne ændrede ikke logoet og navnet,”Bemærkede rapporten.
Cerberus og BlackRock
Sidste sommer, Cerberus blev sat på auktion af dets udviklere og startprisen for det var $50,000 USD. Størstedelen af handlerne lukkede faktisk kl $100,000 USD, som er dobbelt end startprisen.
Cerberus var et meget populært malware-as-a-service-eksempel, som blev kendt i august 2019, da det blev opdaget i en live kampagne. Analysen viste derefter ikke nogen kildekodestykker fra andre berømte trusler. På det tidspunkt, dette lignede en meget formidabel trussel, der blev brugt til at overtage kontrollen over mange enheder. Android Trojan inkluderede alle de funktioner og funktioner, der forventes af malware i denne kategori.
hvad angår BlackRock malware, det antages at være afledt af koden for Xerxes, en opgraderet version af LokiBot, som i mange år var et af de farligste eksempler på Android malware.
“Historien om ERMAC viser endnu en gang, hvordan malwarekildekodelækager ikke kun kan føre til langsom fordampning af malware -familien, men også bringe nye trusler/aktører til trusselslandskabet. Bygger på Cerberus kælder, ERMAC introducerer et par nye funktioner. Selvom det mangler nogle kraftfulde funktioner som RAT, det er stadig en trussel for mobilbankbrugere og finansielle institutioner over hele verden,”ThreatFabric indgået.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: