ERMAC,一個新的銀行特洛伊木馬程序,基于Cerberus惡意軟件的代碼
來自威脅法布里克的研究人員在7月發現了一個新的Android銀行木馬稱為ERMAC,幾乎完全基于流行的銀行木馬Cerberus。Cerberus 的源代碼于2020 年 9 月在其運營商未能進行拍賣后在地下黑客論壇上發布。
據專家稱,ERMAC由貝萊德移動惡意軟件背后的威脅行為者操作。
8月17日,兩個名為"ermac"和"DukeEugene"的論壇成員開始為惡意軟件做廣告。"杜克尤金"在他的帳戶中發布了以下消息:
"安卓僵尸網絡ERMAC。我將租一個新的機器人僵尸網絡與廣泛的功能,以狹窄的人圈(10人)。每月3千美元。下午的詳細信息。
杜克尤金是貝萊德銀行特洛伊木馬的幕后黑手。
ERMAC 在使用不同的混淆技術和吹魚加密算法方面與 Cerberus 不同。
"盡管使用了不同的混淆技術和新的字符串加密方法 - 使用吹魚加密算法,我們絕對可以說,ERMAC是另一個基于Cerberus的特洛伊木馬。 與原始 Cerberus 相比,ERMAC 在與 C2 通信時使用不同的加密方案:數據使用 AES-128-CBC 進行加密,并預用包含編碼數據長度的雙字。
新的銀行特洛伊木馬程序支持相同的最新 Cerberus 命令,除了幾個命令,允許清除指定應用程序的緩存內容和竊取設備帳戶。
清除現金/透明卡什觸發打開指定的應用程序詳細信息獲取帳戶/日志計數觸發竊取設備上的帳戶列表
在編寫本報告時,威脅食品研究人員在@malwrhunterteam專家的支持下確定,ERMAC只針對波蘭,波蘭是打著交付服務和政府申請的幌子分發的。
新的銀行特洛伊木馬程序可以針對超過三百個銀行和移動應用程序。
"ERMAC 的故事再一次展示了惡意軟件源代碼泄漏如何不僅導致惡意軟件家族的蒸發速度,而且還給威脅格局帶來新的威脅/行為者。ERMAC 建在塞伯魯斯地下室,引入了幾個新功能。盡管它缺乏一些強大的功能,如RAT,但它仍然是全球移動銀行用戶和金融機構的威脅。
