Hackeri stratili kontrolu. Zdrojový kód jedného z najnebezpečnejších Android vírusov unikol na internet
Únik zdrojového kódu ERMAC 3.0 odhalil, ako funguje malvér, ktorý ohrozuje viac ako 700 bankových aplikácií.
Bezpečnostní výskumníci odhalili zákulisie jedného z najnebezpečnejších Android bankových trójskych koní, ERMAC 3.0. Najnovšia verzia malvéru, ktorá bola donedávna ponúkaná ako služba (Malware-as-a-Service), sa dostala do centra pozornosti po tom, čo unikol jej kompletný zdrojový kód. A práve tento únik odhalil viac než by si samotní útočníci želali, celé fungovanie infraštruktúry a zároveň vážne bezpečnostné chyby. Upozornil na to portál The Hacker News.
Čo je ERMAC a ako funguje?
ERMAC sa prvýkrát objavil v roku 2021, keď ho odhalila spoločnosť ThreatFabric. Od začiatku bolo jasné, že ide o evolúciu známych trójskych koní Cerberus či BlackRock. Funguje klasickým spôsobom, cez takzvané overlay útoky, kedy sa škodlivá aplikácia „prekryje“ cez legitímnu bankovú alebo kryptomenovú appku a od používateľa tak získa prihlasovacie údaje.
Najnovšia verzia ERMAC 3.0 ide ešte ďalej. Dokáže cieliť na viac ako 700 aplikácií, medzi nimi bankové, nákupné aj kryptomenové služby. Pribudli nové metódy kradnutia dát, prepracovaný riadiaci panel (C2), šifrovaná komunikácia a dokonca aj nový Android backdoor písaný v Kotline.
Ako vyzerá celá malvérová infraštruktúra?
Podľa bezpečnostnej spoločnosti Hunt.io sa im podarilo získať celý zdrojový kód ERMAC 3.0 priamo z verejne prístupného servera. Vďaka tomu dnes vieme, z čoho sa tento malvér skladá:
- Backend C2 server, slúži na správu napadnutých zariadení, zhromažďovanie SMS správ, prihlasovacích údajov a ďalších citlivých dát.
- Frontend panel, webové rozhranie pre útočníkov, kde si môžu pozerať ukradnuté dáta alebo zadávať nové príkazy.
- Exfiltračný server, písaný v jazyku Go, zodpovedný za prenos ukradnutých informácií.
- ERMAC backdoor, Android implantát, ktorý zabezpečuje plnú kontrolu nad zariadením. Zaujímavosťou je, že sa cielene vyhýba zariadeniam z krajín SNŠ.
- ERMAC builder, nástroj, vďaka ktorému si zákazníci (útočníci) vedia „na mieru“ vytvoriť vlastnú verziu malvéru s nastavením názvu aplikácie, serverovej adresy a ďalších parametrov.
Únik odhalil slabiny útočníkov
Hoci sa ERMAC 3.0 tvári ako sofistikovaný nástroj, únik zdrojového kódu ukázal aj množstvo amatérskych chýb. Výskumníci upozorňujú na pevne zakódovaný JWT kľúč a administrátorský token, predvolené root prihlasovacie údaje a možnosť voľnej registrácie účtov priamo v admin paneli.
Neprehliadni
Práve tieto nedostatky môžu podľa odborníkov pomôcť obrancom v praxi, od jednoduchšieho odhaľovania aktívnych kampaní, až po narúšanie infraštruktúry útočníkov.
Prečo by ťa to malo zaujímať?
Ak používaš Android zariadenie a inštaluješ aplikácie mimo oficiálneho Google Play, riziko infikovania podobným trójskym koňom dramaticky stúpa. Útočníci sa snažia maskovať škodlivé appky za užitočné nástroje alebo známe aplikácie. Po nainštalovaní už majú prakticky voľný prístup k tvojim SMS správam, bankovým účtom či kryptopeňaženke.
Odporúčajú sa preto inštalovať aplikácie výlučne z oficiálnych zdrojov, kontrolovať povolenia aplikácií a nedávať im prístup, ktorý nepotrebujú a mať zapnutú ochranu Google Play Protect a pravidelne aktualizovať systém.
ERMAC 3.0 je jasným dôkazom toho, že kyberzločinci sa neustále zdokonaľujú, no zároveň nie sú neomylní. Tentokrát ich vlastné chyby odhalili viac, než by chceli a to môže byť pre používateľov aj bezpečnostných špecialistov dobrá správa.
