Il trojan bancario Android ERMAC ha rilasciato la versione 2.0, aumentando il numero di applicazioni prese di mira da 378 a 467, coprendo una gamma molto più ampia di app per rubare le credenziali dei conti e i portafogli di criptovalute.
L’obiettivo del trojan è quello di inviare le credenziali di accesso rubate agli attori delle minacce, che poi le utilizzano per prendere il controllo dei conti bancari e di criptovaluta di altre persone e condurre frodi finanziarie o di altro tipo.
ERMAC è attualmente venduto ai membri dei siti del dark web a un prezzo di abbonamento di 5.000 dollari al mese, 2.000 dollari in più rispetto alla prima versione, a testimonianza dell’aggiornamento delle funzionalità e della sua popolarità.
Applicazione falsa Bolt Food
La prima campagna di malware che utilizza il nuovo malware ERMAC 2.0 è una falsa applicazione Bolt Food destinata al mercato polacco.
Secondo i ricercatori ESET, gli attori delle minacce hanno distribuito l’applicazione Android attraverso il sito web “bolt-food[.]site“, spacciandosi per il legittimo servizio europeo di consegna di cibo.
Gli utenti finiscono probabilmente sul sito falso tramite un’e-mail di phishing, post malevoli sui social media, smishing, malvertising, ecc. Se scaricano l’applicazione, ricevono una richiesta di autorizzazione che richiede il controllo completo del dispositivo.
La concessione dell’accesso al Servizio di accessibilità è necessaria per servire gli overlay delle applicazioni, che inducono la vittima a inserire le proprie credenziali in moduli che sembrano legittimi ma sono solo cloni delle interfacce delle applicazioni reali.
Cyble ha esaminato il malware per un’analisi tecnica più approfondita e conferma che si concede 43 permessi al momento dell’installazione (tramite Accessibility), tra cui l’accesso agli SMS, l’accesso ai contatti, la creazione di finestre di avviso del sistema, la registrazione audio e l’accesso completo alla lettura e alla scrittura dello storage.
Individuare una miriade di applicazioni
ERMAC determina innanzitutto quali applicazioni sono installate sul dispositivo host e poi invia le informazioni al server C2.
La risposta contiene i moduli di iniezione che corrispondono all’elenco di applicazioni in forma HTML crittografata, che il malware decifra e memorizza nel file delle preferenze condivise come “setting.xml“.
Come funziona Ermac 2.0?
Quando la vittima tenta di avviare l’applicazione reale, si verifica l’azione di iniezione e viene caricata una pagina di phishing sopra la GUI reale. Le credenziali raccolte vengono inviate allo stesso C2 che ha fornito le iniezioni.
I comandi supportati da ERMAC 2.0 sono i seguenti:
- downloadingInjections – Invia l’elenco delle applicazioni per scaricare le iniezioni.
- logs – Invia i log delle iniezioni al server
- checkAP – Controlla lo stato dell’applicazione e lo invia al server
- registration – Invia i dati del dispositivo
- updateBotParams – Invia i parametri aggiornati del bot.
- downloadInjection – Utilizzato per ricevere la pagina HTML di phishing.
Le app bancarie prese di mira da EMAC 2.0 includono istituti di tutto il mondo, rendendo l’app adatta alla distribuzione in molti Paesi. Inoltre, vengono rubati anche popolari portafogli di criptovalute e app di gestione patrimoniale.
Gli analisti di Cyble hanno trovato molte somiglianze con il malware “Cerberus“, quindi sembra che la seconda versione del potente trojan sia basata su di esso.
L’ampio elenco di applicazioni supportate lo rende un malware potente, ma vale la pena notare che incontrerebbe problemi nelle versioni 11 e 12 di Android, grazie alle restrizioni aggiuntive aggiunte da Google per prevenire l’abuso dell’Accessibility Service.
Per prevenire le infezioni da trojan Android, evitare di scaricare APK dall’esterno del Play Store, soprattutto da siti web che non avete confermato essere legittimi.
