Un nuevo troyano bancario móvil acaba de aparecer. Llamado ERMAC, el malware parece haber sido acuñado por los ciberdelincuentes de BlackRock y se basa en las raíces del infame Cerberus.
“Si investigamos ERMAC, podemos descubrir que ERMAC es un heredero en código de un conocido malware Cerberus. Utiliza estructuras de datos casi idénticas cuando se comunica con el C2, usa los mismos datos de cadena, etcétera,”Dijo ThreatFabric. La primera impresión de los investigadores fue que el nuevo troyano es otra variante de Cerberus. A pesar de tener un nombre diferente y utilizar diferentes técnicas de ofuscación y un nuevo cifrado de cadenas, ERMAC es otro troyano basado en Cerberus, los investigadores descubrieron.
Troyano ERMAC para Android: Visión de conjunto
La diferencia con el Cerberus original es que ERMAC utiliza otro esquema de cifrado cuando se comunica con el servidor de comando y control.. Los datos están encriptados con AES-128-CBC, y antepuesto con una palabra doble que contiene la longitud de los datos codificados, según el informe.
Una conexión definitiva con los operadores de malware BlackRock es el uso de la misma dirección IP que el comando y control..
Cabe destacar que a pesar de ser nuevo, el troyano ya está distribuido en campañas activas y segmentación 378 aplicaciones bancarias y de billetera con superposiciones. Las primeras campañas probablemente se iniciaron a finales de agosto. 2021. Los ataques ahora se han expandido, incluyendo numerosas aplicaciones como banca, reproductores de medios, aplicaciones gubernamentales, soluciones antivirus.
Según la empresa holandesa de ciberseguridad, notaron por primera vez el troyano en las publicaciones del foro por un actor de amenazas llamado DukeEugene. El jugador anunciaba la nueva botnet de Android a posibles clientes para $3,000 un mes. El mismo actor de amenazas estuvo detrás de la campaña de BlackRock del año pasado..
“Creemos que DukeEugene pasó de usar BlackRock en sus operaciones a ERMAC, ya que ya no vimos muestras frescas de BlackRock desde las primeras menciones de ERMAC. Una de las razones detrás de esto podría ser que BlackRock fue desacreditado: DukeEugene afirmó en el foro que uno de los compradores que obtuvo su bot para probarlo comenzó a estafar a las personas que lo anunciaban como un nuevo troyano bancario Amplebot.. El nombre fue tomado del panel de administración de BlackRock., que se creó con la plantilla AmpleAdmin, y los actores no cambiaron el logo y el nombre,”Señaló el informe.
Cerberus y BlackRock
El verano pasado, Cerberus fue subastado por sus desarrolladores y el precio inicial fue $50,000 Dólar estadounidense. La mayoría de los acuerdos se cerraron en $100,000 USD que es el doble del precio inicial.
Cerberus fue un ejemplo de malware como servicio muy popular que se hizo conocido en agosto 2019, cuando se detectó en una campaña en vivo. El análisis luego no mostró fragmentos de código fuente de otras amenazas famosas. En ese tiempo, esto parecía una amenaza muy formidable que se utilizó para tomar el control de muchos dispositivos. El troyano Android incluía todas las características y funcionalidades esperadas del malware de esta categoría..
En cuanto a Malware BlackRock, se creía que se derivaba del código de Jerjes, una versión mejorada de LokiBot, que durante muchos años fue uno de los ejemplos más peligrosos de malware de Android.
“La historia de ERMAC muestra una vez más cómo las fugas de código fuente de malware pueden conducir no solo a una lenta evaporación de la familia de malware, sino también a traer nuevas amenazas / actores al panorama de amenazas. Construido en el sótano de Cerberus, ERMAC presenta un par de funciones nuevas. Aunque carece de algunas funciones potentes como RAT, sigue siendo una amenaza para los usuarios de banca móvil y las instituciones financieras de todo el mundo,"ThreatFabric concluido.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: