Novi Android malver krade finansijske podatke iz 378 bankarskih i wallet aplikacija
Operateri koji stoje iza BlackRock mobilnog zlonamernog softvera pojavili su se sa novim Android bankarskim trojancem pod nazivom ERMAC.
Naslednik zlonamernog Cerberus softvera
Novi malver cilja Poljsku i ima koren u zloglasnom zlonamernom softveru Cerberus, prema najnovijem istraživanju. Novi trojanac već ima aktivne distributivne kampanje i cilja 378 bankarskih i wallet aplikacija sa preklopnim slojevima. Veruje se da su prve kampanje koje uključuju ERMAC počele krajem avgusta pod maskom aplikacije Google Chrome. Od tada su se napadi proširili na niz aplikacija kao što su bankarstvo, medijski plejeri, usluge dostave, vladine aplikacije i antivirusna rešenja poput McAfee-ja. Skoro u potpunosti zasnovani na ozloglašenom bankarskom trojanu Cerberusu, nalazi holandske firme za kibernetičku sigurnost potiču od postova na forumima koje je napisao haker po imenu DukeEugene 17. avgusta, pozivajući potencijalne klijente da “iznajme novi android botnet sa širokom funkcionalnošću uskom krugu ljudi” za 3.000 dolara mesečno.
DukeEugene je takođe poznat kao akter BlackRock kampanje koja je izašla na videlo u julu 2020. Sa nizom mogućnosti krađe podataka, infostealer i keylogger potiču iz drugog bankarskog soja pod nazivom Xerxes – koji je i sam soj LokiBot Android bankarskog trojanca – sa izvornim kodom zlonamernog softvera koji je autor objavio negde u maju 2019. Cerberus je u septembru 2020. godine imao svoj izvorni kod objavljen kao besplatni trojanac za daljinski pristup (RAT – remote access trojan) na podzemnim hakerskim forumima nakon neuspele aukcije koja je za programera tražila 100.000 dolara.
Osim što deli sličnosti sa Cerberusom, sveže otkriveni soj odlikuje se upotrebom tehnika zatamnjivanja i šeme šifrovanja Blowfish za komunikaciju sa serverom za komandu i kontrolu. ERMAC je, kao i njegov prethodnik i drugi bankarski zlonamerni softver, dizajniran za krađu kontaktnih podataka, tekstualne poruke, otvaranje proizvoljnih aplikacija i pokretanje preklapajućih napada na mnoštvo finansijskih aplikacija radi prevlačenja akreditiva za prijavu. Osim toga, razvila je nove funkcije koje dozvoljavaju zlonamernom softveru da očisti predmemoriju određene aplikacije i ukrade naloge uskladištene na uređaju. Priča o ERMAC-u još jednom pokazuje kako curenje izvornog koda zlonamernog softvera može dovesti ne samo do usporavanja nestajanja porodice zlonamernog softvera, već i donijeti nove pretnje u okruženje, rekli su istraživači. Iako mu nedostaju neke moćne funkcije poput RAT -a, on ostaje prijetnja za korisnike mobilnog bankarstva i finansijske institucije u celom svetu.
Izvor: Thehackernews