Security affairs消息,一种名为ERMAC的新型病毒已经现身互联网,它主要针对安卓平台的银行应用,研究者已经确定,ERMAC可以至少从378个银行和钱包的APP中窃取金融数据。
在2021年7月,Threatfabric的研究人员首次发现了ERMAC,它的运作模式和代码组成与此前流行的恶意软件Cerberus十分相似,研究人员几乎可以肯定,ERMAC正是Cerberus的特殊变种。
Cerberus最早出现在2019年6月,它是Anubis恶意软件的变种。虽然在2020年9月,Cerberus恶意软件团队宣布解散,不过木马病毒并没有就此销声匿迹,因为在解散时,团队以以10万美元的价格拍卖了源代码,随后各类Cerberus开始在地下黑客论坛上流行。
我们有理由相信,ERMAC也来源于此。
在8月17日,ID为ermac和DukeEugene的两人开始在地下论坛中中积极推广ERMAC木马,其中DukeEugene还在论坛中发布了以下招募信息:“ERMAC是恶意安卓木马,我将在小范围内(10人)租售这款功能强大的新型安卓木马,每月租金仅3000美金,PM中有详细的信息。”
值得一提的是,DukeEugene 是BlackRock银行木马的幕后核心成员。专家认为,ERMAC与BlackRock移动恶意软件的幕后团队有着千丝万缕的联系。
虽然师出同门,但ERMAC还是和此前Cerberus恶意软件有些许的不同,ERMAC使用了不同的混淆技术和加密算法,使得破解起来更加复杂。
“尽管使用了不同的混淆技术和新的字符串加密方法——blowfish加密算法,我们可以肯定地说,ERMAC是另一个基于Cerberus的木马。”黑客组织发文称,“与最初的Cerberus相比,ERMAC使用了与C2通信不同的加密方案:数据用AES-128-CBC加密,并且数字编码的长度控制在两个字以内。”
除了那些允许清除指定应用程序的缓存内容和窃取设备帐户的命令以外,新型的银行木马同样支持最新的Cerberus命令,这将会让木马变得更加易用。
而就在本文写作的过程中,黑客威胁组织的研究人员在MalwareHunter团队专家的支持下,正在波兰境内以快递服务和市政服务的幌子下不断分发出去。
这一次,新型银行木马ERMAC的目标是300多家银行和移动应用程序。
ERMAC的故事再一次向我们展示了,恶意软件源代码泄漏不仅会增加病毒和木马的危险系数,甚至还可能成为新一轮互利网供给的起因。毫无疑问,ERMAC脱胎于Cerberus恶意软件,但同时也开发了一些新的功能,尽管它还缺乏一些类似于RAT那样的强大功能,仍然会对世界各地的银行和金融机构造成严重的威胁。