È appena emerso un nuovo Trojan per il mobile banking. Chiamato ERMAC, il malware sembra essere stato coniato dai cybercriminali BlackRock e si basa sulle radici del famigerato Cerberus.
“Se indaghiamo su ERMAC, possiamo scoprire che ERMAC è un erede a livello di codice di un noto malware Cerberus. Utilizza strutture di dati quasi identiche quando comunica con il C2, usa gli stessi dati di stringa, eccetera,"ha detto ThreatFabric. La prima impressione dei ricercatori è stata che il nuovo Trojan sia un'altra variante di Cerberus. Nonostante abbia un nome diverso e utilizzi diverse tecniche di offuscamento e una nuova crittografia delle stringhe, ERMAC è un altro trojan basato su Cerberus, i ricercatori hanno scoperto.
ERMAC Android Trojan: Panoramica
La differenza con il Cerberus originale è che ERMAC utilizza un altro schema di crittografia quando comunica con il server di comando e controllo. I dati sono crittografati con AES-128-CBC, e preceduto da una doppia parola contenente la lunghezza dei dati codificati, dice il rapporto.
Una connessione definitiva con gli operatori di malware BlackRock è l'utilizzo dello stesso indirizzo IP come comando e controllo.
È interessante notare che nonostante sia nuovo, il trojan è già distribuito in campagne attive e targeting 378 app bancarie e portafogli con overlay. Le prime campagne sono state avviate molto probabilmente alla fine di agosto 2021. Gli attacchi ora si sono ampliati, comprese numerose app come banche, lettori multimediali, app governative, soluzioni antivirus.
Secondo la società di sicurezza informatica olandese, hanno notato per la prima volta il trojan nei post del forum di un attore di minacce chiamato DukeEugene. Il giocatore stava pubblicizzando la nuova botnet Android ai potenziali clienti per $3,000 un mese. Lo stesso attore delle minacce era dietro la campagna BlackRock dell'anno scorso.
"Riteniamo che DukeEugene sia passato dall'utilizzo di BlackRock nelle sue operazioni a ERMAC, poiché non abbiamo più visto campioni BlackRock freschi dalle prime menzioni di ERMAC. Uno dei motivi potrebbe essere che BlackRock è stato screditato: DukeEugene ha affermato sul forum che uno degli acquirenti che ha ottenuto il proprio bot per il test ha iniziato a truffare le persone pubblicizzandolo come un nuovo trojan bancario Amplebot. Il nome è stato preso dal pannello di amministrazione di BlackRock, che è stato creato utilizzando il modello AmpleAdmin, e gli attori non hanno cambiato il logo e il nome,"Osserva il rapporto.
Cerberus e BlackRock
La scorsa estate, Cerberus è stato messo all'asta dai suoi sviluppatori e il prezzo di partenza era $50,000 Dollaro statunitense. La maggior parte delle trattative si è effettivamente conclusa a $100,000 USD che è il doppio del prezzo iniziale.
Cerberus è stato un esempio di malware-as-a-service molto popolare che è diventato famoso ad agosto 2019, quando è stato rilevato in una campagna live. L'analisi non ha quindi mostrato alcun frammento di codice sorgente di altre minacce famose. A quel tempo, sembrava una minaccia formidabile che veniva utilizzata per assumere il controllo di molti dispositivi. Il trojan Android includeva tutte le caratteristiche e le funzionalità attese da malware di questa categoria.
Per quanto riguarda la Malware BlackRock, si credeva derivasse dal codice di Serse, una versione aggiornata di LokiBot, che per molti anni è stato uno degli esempi più pericolosi di malware Android.
"La storia di ERMAC mostra ancora una volta come le perdite di codice sorgente del malware possono portare non solo alla lenta evaporazione della famiglia di malware, ma anche portare nuove minacce/attori nel panorama delle minacce. In costruzione nel seminterrato di Cerberus, ERMAC introduce un paio di nuove funzionalità. Sebbene manchi di alcune potenti funzionalità come RAT, rimane una minaccia per gli utenti del mobile banking e gli istituti finanziari di tutto il mondo,"ThreatFabric" concluso.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: