Um novo cavalo de Troia de banco móvel acaba de surgir. ERMAC chamado, o malware parece ter sido cunhado pelos cibercriminosos BlackRock e é baseado nas raízes do infame Cerberus.
“Se investigarmos ERMAC, podemos descobrir que ERMAC é um herdeiro de um conhecido malware Cerberus. Ele usa estruturas de dados quase idênticas ao se comunicar com o C2, ele usa os mesmos dados de string, e assim por diante,”Disse ThreatFabric. A primeira impressão dos pesquisadores foi que o novo Trojan é outra variante do Cerberus. Apesar de ter um nome diferente e usar diferentes técnicas de ofuscação e uma nova criptografia de string, ERMAC é outro trojan baseado em Cerberus, os pesquisadores descobriram.
Cavalo de Troia ERMAC Android: visão global
A diferença com o Cerberus original é que ERMAC utiliza outro esquema de criptografia ao se comunicar com o servidor de comando e controle. Os dados são criptografados com AES-128-CBC, e prefixado com palavra dupla contendo o comprimento dos dados codificados, segundo o relatório.
Uma conexão definitiva com os operadores de malware BlackRock é o uso do mesmo endereço IP como comando e controle.
Vale ressaltar que apesar de ser novo, o trojan já está distribuído em campanhas ativas e visando 378 aplicativos bancários e de carteira com sobreposições. As primeiras campanhas foram provavelmente iniciadas no final de agosto 2021. Os ataques agora se expandiram, incluindo vários aplicativos, como serviços bancários, players de mídia, aplicativos governamentais, soluções antivírus.
De acordo com a empresa holandesa de segurança cibernética, eles notaram o cavalo de Tróia pela primeira vez em postagens de fórum por um ator de ameaças chamado DukeEugene. O jogador estava anunciando o novo botnet Android para clientes em potencial para $3,000 um mês. O mesmo ator de ameaça estava por trás da campanha BlackRock do ano passado.
“Acreditamos que a DukeEugene deixou de usar BlackRock em suas operações para ERMAC, já que não víamos mais amostras frescas de BlackRock desde as primeiras menções de ERMAC. Uma das razões por trás disso pode ser que a BlackRock foi desacreditada: DukeEugene afirmou no fórum que um dos compradores que obteve seu bot para teste começou a enganar as pessoas que o anunciavam como um novo cavalo de Troia Bancário Amplebot. O nome foi retirado do painel de administração do BlackRock, que foi construído usando o modelo AmpleAdmin, e os atores não mudaram o logotipo e o nome,”O relatório observou.
Cerberus e BlackRock
Verão passado, Cerberus foi colocado em leilão por seus desenvolvedores e o preço inicial era $50,000 USD. A maioria dos negócios realmente fechados em $100,000 USD que é o dobro do preço inicial.
Cerberus foi um exemplo de malware como serviço muito popular que se tornou conhecido em agosto 2019, quando foi detectado em uma campanha ao vivo. A análise não mostrou trechos de código fonte de outras ameaças famosas. Naquela hora, parecia uma ameaça formidável que foi usada para assumir o controle de muitos dispositivos. O Trojan Android incluiu todos os recursos e funcionalidades esperados de malware desta categoria.
Quanto ao Malware BlackRock, acreditava-se que era derivado do código de Xerxes, uma versão atualizada do LokiBot, que por muitos anos foi um dos exemplos mais perigosos de malware Android.
“A história do ERMAC mostra mais uma vez como os vazamentos de código-fonte de malware podem levar não apenas à lenta evaporação da família de malware, mas também trazer novas ameaças / atores para o cenário de ameaças. Sendo construído no porão da Cerberus, ERMAC apresenta alguns novos recursos. Embora faltem alguns recursos poderosos como RAT, continua a ser uma ameaça para usuários de serviços bancários móveis e instituições financeiras em todo o mundo,”ThreatFabric concluiu.