
Siber güvenlik araştırmacıları, Operatörlerin altyapısında ciddi eksiklikleri ortaya çıkararak ERMAC 3.0 adlı bir Android bankacılık Truva atının iç işleyişini detaylandırdılar.
Hunt.io bir raporda, “Yeni ortaya çıkan sürüm 3.0, kötü amaçlı yazılımın önemli bir evrimini ortaya koyuyor, form enjeksiyonunu ve 700’den fazla bankacılık, alışveriş ve kripto para birimi uygulamalarını hedeflemek için veri hırsızlığı yeteneklerini genişletiyor.” Dedi.
ERMAC ilk olarak Eylül 2021’de TehditFabric tarafından belgelendi ve dünya çapında yüzlerce bankacılık ve kripto para birimi uygulamasına karşı bindirme saldırıları yapma yeteneğini detaylandırdı. Dukeeugene adlı bir tehdit oyuncusuna atfedilen, Cerberus ve Blackrock’un bir evrimi olarak değerlendirilir.

Hook (ERMAC 2.0), Pegasus ve Loot dahil olmak üzere yaygın olarak gözlemlenen diğer kötü amaçlı yazılım aileleri, ortak bir soya sahiptir: kaynak kodu bileşenlerinin kuşaklar boyunca aktarıldığı ve değiştirildiği ERMAC şeklinde bir ata.


Hunt.io, 141.164.62 tarihli bir açık dizinden Hizmet Olarak Kötü Yazılım (MAAS) ile ilişkili tam kaynak kodunu almayı başardığını söyledi.[.]236: 443, PHP ve Laravel Backend, React tabanlı ön uç, Golang exfiltration Server ve Android Builder paneline kadar.
Bileşenlerin her birinin işlevleri aşağıda listelenmiştir –
- Backend C2 Sunucusu – Operatörlere, SMS günlükleri, çalıntı hesaplar ve cihaz verileri gibi mağdur cihazları yönetme ve uzlaşmış verilere erişme olanağı sağlar
- Ön Uç Paneli – Operatörlerin komutlar vererek, kaplamaları yöneterek ve çalınan verilere erişerek bağlı cihazlarla etkileşime girmesini sağlar.
- Exfiltration Server – Çalıntı verileri püskürtmek ve tehlikeye atılan cihazlarla ilgili bilgileri yönetmek için kullanılan bir Golang sunucusu
- ERMAC Backdoor – Kotlin’de yazılmış bir Android implantı, güvenliği ihlal edilen cihazı kontrol etme ve C2 sunucusundan gelen komutlara dayalı hassas verileri toplama olanağı sunarken, enfeksiyonların Bağımsız Devletler (CIS) Milletleri Topluluğu’nda bulunan cihazlara dokunmamasını sağlar.
- ERMAC Builder – Müşterilerin, uygulama adını, sunucu URL’sini ve Android Backdoor için diğer ayarları sağlayarak kötü amaçlı yazılım kampanyaları için yapıları yapılandırmalarına ve oluşturmalarına yardımcı olacak bir araç

Genişletilmiş bir uygulama hedefi kümesinin yanı sıra, ERMAC 3.0 yeni form enjeksiyon yöntemleri, elden geçirilmiş komut ve kontrol (C2) paneli, yeni bir Android arka kapısı ve AES-CBC şifreli iletişim ekler.
Şirket, “Sızıntıda, sert kodlanmış bir JWT sırrı ve statik yönetici taşıyıcı jetonu, varsayılan kök kimlik bilgileri ve yönetici panelinde açık hesap kaydı gibi kritik zayıflıklar ortaya çıktı.” Dedi. “Bu kusurları canlı ERMAC altyapısı ile ilişkilendirerek, savunuculara aktif operasyonları izlemek, tespit etmek ve bozmak için somut yollar sunuyoruz.”