Security affairs消息,一种名为ERMAC新病毒已出现在互联网上,主要针对安卓平台的银行应用,研究人员已确定,ERMAC至少378家银行和钱包APP窃取金融数据。
在2021年7月,Threatfabric研究人员首次发现ERMAC,它的操作模式和代码组成以及以前流行的恶意软件Cerberus非常相似,研究人员几乎可以肯定,ERMAC正是Cerberus特殊变种。
Cerberus最早出现在2019年6月,是Anubis恶意软件的变种。尽管在2020年9月,Cerberus恶意软件团队宣布解散,不过木马病毒并没有就此销声匿迹,因为在解散时,团队以以10万美元的价格拍卖了源代码,随后各类Cerberus地下黑客论坛开始流行。
我们有理由相信,ERMAC也来自此。
在8月17日,ID为ermac和DukeEugene两人开始在地下论坛上积极推广ERMAC木马,其中DukeEugene以下招聘信息也在论坛上发布:“ERMAC恶意安卓木马,我将在小范围内(10人)租售这款功能强大的新型安卓木马,月租金仅3000美元,PM有详细信息。”
值得一提的是,DukeEugene 是BlackRock银行木马幕后核心成员。专家认为,ERMAC与BlackRock幕后团队的移动恶意软件有着千丝万缕的联系。
虽然师出同门,但是ERMAC还是和此前Cerberus恶意软件有些不同,ERMAC采用不同的混淆技术和加密算法,使破解更加复杂。
“尽管使用了不同的混淆技术和新的字符串加密方法——blowfish我们可以肯定地说,加密算法,ERMAC是另一个基础Cerberus的木马。”黑客组织发文称,“与最初的Cerberus相比,ERMAC使用了与C2不同通信的加密方案:数据使用AES-128-CBC加密,数字编码的长度控制在两个字以内。”
新银行木马除了允许清除指定应用程序的缓存内容和窃取设备账户的命令外,还支持最新的Cerberus这将使木马更容易使用。
在本文的写作过程中,黑客威胁组织的研究人员MalwareHunter在团队专家的支持下,在波兰以快递服务和市政服务的幌子下不断分发。
这一次,新银行木马ERMAC目标是300多家银行和移动应用。
ERMAC恶意软件源代码泄漏不仅会增加病毒和木马的风险系数,还会成为新一轮互利网络供应的原因。毫无疑问,ERMAC脱胎于Cerberus恶意软件也开发了一些新功能,尽管它仍然缺乏类似的功能RAT如此强大的功能仍将对世界各地的银行和金融机构构构成严重威胁。