Er is zojuist een nieuwe trojan voor mobiel bankieren opgedoken. ERMAC genoemd, de malware lijkt te zijn bedacht door de BlackRock-cybercriminelen en is gebaseerd op de wortels van de beruchte Cerberus.
“Als we ERMAC . onderzoeken, we kunnen ontdekken dat ERMAC een codegewijze erfgenaam is van een bekende malware Cerberus. Het gebruikt bijna identieke datastructuren bij de communicatie met de C2, het gebruikt dezelfde stringgegevens, et cetera," zei ThreatFabric. De eerste indruk van de onderzoekers was dat de nieuwe Trojan een andere variant van Cerberus is. Ondanks een andere naam en het gebruik van verschillende verduisteringstechnieken en een nieuwe string-encryptie, ERMAC is een andere op Cerberus gebaseerde trojan, ontdekten de onderzoekers.
ERMAC Android-trojan: Overzicht
Het verschil met de originele Cerberus is dat ERMAC een ander coderingsschema gebruikt bij de communicatie met de command-and-control-server. De gegevens zijn versleuteld met AES-128-CBC, en voorafgegaan door een dubbel woord dat de lengte van de gecodeerde gegevens bevat, aldus het rapport.
Een duidelijk verband met de BlackRock-malware-operators is het gebruik van hetzelfde IP-adres als command-and-control.
Het is opmerkelijk dat ondanks dat het nieuw is, de trojan is al verspreid in actieve campagnes en targeting 378 bank- en portemonnee-apps met overlays. De eerste campagnes zijn hoogstwaarschijnlijk eind augustus gestart 2021. De aanvallen zijn nu uitgebreid, inclusief tal van apps zoals bankieren, mediaspelers, overheidsapps, antivirusoplossingen.
Volgens het Nederlandse cyberbeveiligingsbedrijf, ze merkten de trojan voor het eerst op in forumberichten door een bedreigingsacteur genaamd DukeEugene. De speler maakte reclame voor het nieuwe Android-botnet voor potentiële klanten voor: $3,000 een maand. Dezelfde dreigingsactor zat achter de BlackRock-campagne van vorig jaar.
“Wij zijn van mening dat DukeEugene is overgestapt van het gebruik van BlackRock in zijn activiteiten naar ERMAC, omdat we sinds de eerste vermeldingen van ERMAC . geen nieuwe BlackRock-samples meer hebben gezien. Een van de redenen hiervoor zou kunnen zijn dat BlackRock in diskrediet werd gebracht: DukeEugene beweerde op het forum dat een van de kopers die hun bot voor test hadden gekregen, mensen begon op te lichten die reclame maakten als een nieuwe Amplebot banking trojan. De naam is ontleend aan het beheerderspaneel van BlackRock, die is gebouwd met behulp van de AmpleAdmin-sjabloon, en de acteurs hebben het logo en de naam niet veranderd,'Merkte het rapport op.
Cerberus en BlackRock
Vorige zomer, Cerberus werd geveild door de ontwikkelaars en de startprijs ervoor was $50,000 USD. De meeste deals zijn daadwerkelijk gesloten om $100,000 USD die het dubbele is van de startprijs.
Cerberus was een zeer populair malware-as-a-service-voorbeeld dat in augustus bekend werd 2019, wanneer het werd gedetecteerd in een live campagne. De analyse toonde vervolgens geen broncodefragmenten van andere bekende bedreigingen. Op dat moment, dit zag eruit als een zeer formidabele bedreiging die werd gebruikt om de controle over veel apparaten over te nemen. De Android Trojan bevatte alle functies en functionaliteiten die verwacht worden van malware van deze categorie.
Wat betreft de BlackRock-malware, het werd verondersteld te zijn afgeleid van de code van Xerxes, een verbeterde versie van LokiBot, wat jarenlang een van de gevaarlijkste voorbeelden van Android-malware was.
“Het verhaal van ERMAC laat nog maar eens zien hoe het lekken van broncode van malware niet alleen kan leiden tot een langzame verdamping van de malwarefamilie, maar ook tot nieuwe bedreigingen/actoren in het bedreigingslandschap kan leiden.. Wordt gebouwd op Cerberus-kelder, ERMAC introduceert een aantal nieuwe functies. Hoewel het een aantal krachtige functies mist, zoals RAT, het blijft een bedreiging voor gebruikers van mobiel bankieren en financiële instellingen over de hele wereld,BedreigingStof gesloten.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: