Un nouveau cheval de Troie bancaire mobile vient de faire son apparition. Appelé ERMAC, le malware semble avoir été inventé par les cybercriminels BlackRock et est basé sur les racines du tristement célèbre Cerberus.
« Si nous enquêtons sur ERMAC, nous pouvons découvrir qu'ERMAC est un héritier du code d'un malware bien connu Cerberus. Il utilise des structures de données presque identiques lors de la communication avec le C2, il utilise les mêmes données de chaîne, etc," a déclaré ThreatFabric. La première impression des chercheurs était que le nouveau cheval de Troie est une autre variante de Cerberus. Malgré un nom différent et l'utilisation de différentes techniques d'obscurcissement et d'un nouveau cryptage de chaîne, ERMAC est un autre cheval de Troie basé sur Cerberus, les chercheurs ont découvert.
Cheval de Troie Android ERMAC: vue d'ensemble
La différence avec le Cerberus d'origine est qu'ERMAC utilise un autre schéma de cryptage lors de la communication avec le serveur de commande et de contrôle. Les données sont cryptées avec AES-128-CBC, et précédé d'un double mot contenant la longueur des données codées, le rapport.
Une connexion certaine avec les opérateurs de malware BlackRock est l'utilisation de la même adresse IP que la commande et le contrôle.
Il est à noter qu'en dépit d'être nouveau, le cheval de Troie est déjà distribué dans les campagnes actives et le ciblage 378 applications bancaires et de portefeuille avec superpositions. Les premières campagnes ont vraisemblablement été lancées fin août 2021. Les attaques se sont maintenant étendues, y compris de nombreuses applications telles que la banque, lecteurs multimédia, applications gouvernementales, solutions antivirus.
Selon la société néerlandaise de cybersécurité, ils ont d'abord remarqué le cheval de Troie dans les messages du forum par un acteur menaçant appelé DukeEugene. Le joueur faisait la publicité du nouveau botnet Android à des clients potentiels pour $3,000 un mois. Le même acteur menaçant était derrière la campagne BlackRock de l'année dernière.
"Nous pensons que DukeEugene est passé de l'utilisation de BlackRock dans ses opérations à ERMAC, car nous n'avons plus vu d'échantillons BlackRock frais depuis les premières mentions d'ERMAC. L'une des raisons derrière cela pourrait être que BlackRock a été discrédité: DukeEugene a affirmé sur le forum que l'un des acheteurs qui a fait tester son bot a commencé à arnaquer les gens en le présentant comme un nouveau cheval de Troie bancaire Amplebot.. Le nom a été tiré du panneau d'administration de BlackRock, qui a été construit à l'aide du modèle AmpleAdmin, et les acteurs n'ont pas changé le logo et le nom,»Le rapport note.
Cerbère et BlackRock
L'été dernier, Cerberus a été mis aux enchères par ses développeurs et son prix de départ était $50,000 USD. La majorité des transactions ont en fait été conclues à $100,000 USD qui est le double du prix de départ.
Cerberus était un exemple très populaire de malware en tant que service qui est devenu bien connu en août 2019, lorsqu'il a été détecté dans une campagne en direct. L'analyse n'a ensuite montré aucun extrait de code source d'autres menaces célèbres. À ce moment-là, cela ressemblait à une menace très redoutable qui a été utilisée pour prendre le contrôle de nombreux appareils. Le cheval de Troie Android incluait toutes les caractéristiques et fonctionnalités attendues des logiciels malveillants de cette catégorie.
En ce qui concerne la Malware BlackRock, on croyait qu'il était dérivé du code de Xerxès, une version améliorée de LokiBot, qui a été pendant de nombreuses années l'un des exemples les plus dangereux de malware Android.
« L'histoire d'ERMAC montre une fois de plus comment les fuites de code source des logiciels malveillants peuvent non seulement ralentir l'évaporation de la famille des logiciels malveillants, mais également amener de nouvelles menaces/acteurs dans le paysage des menaces.. En cours de construction sur le sous-sol Cerberus, ERMAC introduit quelques nouvelles fonctionnalités. Bien qu'il manque certaines fonctionnalités puissantes comme RAT, il reste une menace pour les utilisateurs de services bancaires mobiles et les institutions financières du monde entier,” MenaceTissu conclu.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: