Ein neuer mobiler Banking-Trojaner ist gerade aufgetaucht. Genannt ERMAC, die Malware scheint von den Cyberkriminellen von BlackRock geprägt zu sein und basiert auf den Wurzeln des berüchtigten Cerberus.
„Wenn wir ERMAC untersuchen, Wir können herausfinden, dass ERMAC ein code-weiser Erbe der bekannten Malware Cerberus ist. Es verwendet fast identische Datenstrukturen bei der Kommunikation mit dem C2, es verwendet die gleichen String-Daten, und so weiter,“ sagte ThreatFabric. Der erste Eindruck der Forscher war, dass der neue Trojaner eine weitere Variante von Cerberus ist. Trotz eines anderen Namens und der Verwendung anderer Verschleierungstechniken und einer neuen String-Verschlüsselung, ERMAC ist ein weiterer auf Cerberus basierender Trojaner, die Forscher entdeckt.
ERMAC Android-Trojaner: Überblick
Der Unterschied zum ursprünglichen Cerberus besteht darin, dass ERMAC bei der Kommunikation mit dem Command-and-Control-Server ein anderes Verschlüsselungsschema verwendet. Die Daten werden mit AES-128-CBC verschlüsselt, und mit vorangestelltem Doppelwort, das die Länge der codierten Daten enthält, so der Bericht.
Ein eindeutiger Zusammenhang mit den BlackRock-Malware-Betreibern ist die Verwendung derselben IP-Adresse als Command-and-Control.
Es ist bemerkenswert, dass obwohl es neu ist, der Trojaner wird bereits in aktiven Kampagnen und Targeting verbreitet 378 Banking- und Wallet-Apps mit Overlays. Die ersten Kampagnen wurden wahrscheinlich Ende August gestartet 2021. Die Angriffe haben sich mittlerweile ausgeweitet, darunter zahlreiche Apps wie Banking, Media-Playern, Regierungs-Apps, Antivirus-Lösungen.
Nach Angaben des niederländischen Cybersicherheitsunternehmens, Sie bemerkten den Trojaner zum ersten Mal in Forenbeiträgen eines Bedrohungsakteurs namens DukeEugene. Der Player bewarb das neue Android-Botnet bei potenziellen Kunden für $3,000 ein Monat. Der gleiche Bedrohungsakteur stand hinter der BlackRock-Kampagne aus dem letzten Jahr.
„Wir glauben, dass DukeEugene von BlackRock in seinem Betrieb auf ERMAC umgestiegen ist, da wir seit den ersten Erwähnungen von ERMAC keine frischen BlackRock-Samples mehr gesehen haben. Einer der Gründe dafür könnte sein, dass BlackRock diskreditiert wurde: DukeEugene behauptete im Forum, dass einer der Käufer, der seinen Bot zum Testen bekommen hatte, damit begann, Leute zu betrügen, die ihn als neuen Amplebot-Banking-Trojaner bewarben. Der Name stammt aus dem Admin-Panel von BlackRock, die mit der AmpleAdmin-Vorlage erstellt wurde, und die Schauspieler haben das Logo und den Namen nicht geändert,”Stellte der Bericht fest.
Cerberus und BlackRock
Letzten Sommer, Cerberus wurde versteigert von seinen Entwicklern und der Startpreis dafür war $50,000 USD. Die meisten Deals wurden tatsächlich um abgeschlossen $100,000 USD, der doppelt so hoch ist wie der Startpreis.
Cerberus war ein sehr beliebtes Malware-as-a-Service-Beispiel, das im August bekannt wurde 2019, wenn es in einer Live-Kampagne erkannt wurde. Die Analyse ergab dann keine Quellcode-Schnipsel von anderen bekannten Bedrohungen. Damals, dies sah nach einer sehr gewaltigen Bedrohung aus, mit der die Kontrolle über viele Geräte übernommen wurde. Der Android-Trojaner beinhaltete alle Features und Funktionalitäten, die von Malware dieser Kategorie erwartet werden.
Wie für die BlackRock-Malware, Es wurde angenommen, dass es aus dem Code von Xerxes abgeleitet wurde, eine aktualisierte Version von LokiBot, was viele Jahre lang eines der gefährlichsten Beispiele für Android-Malware war.
„Die Geschichte von ERMAC zeigt einmal mehr, wie Malware-Quellcode-Lecks nicht nur zu einer langsamen Verdunstung der Malware-Familie führen, sondern auch neue Bedrohungen/Akteure in die Bedrohungslandschaft bringen können. Wird auf dem Cerberus-Keller gebaut, ERMAC führt einige neue Funktionen ein. Obwohl einige leistungsstarke Funktionen wie RAT . fehlen, es bleibt eine Bedrohung für Mobile-Banking-Benutzer und Finanzinstitute auf der ganzen Welt,” Bedrohungsstoff abgeschlossen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: