I ricercatori di Threatfabric hanno scoperto un nuovo trojan bancario Android chiamato ERMAC che è un erede a livello di codice del noto malware Cerberus ed è gestito da attori BlackRock.
La scoperta risale al 23 luglio. Un post apparso sul forum chiamato “ermac” mostrava screenshot allegati che facevano riferimento al nuovo malware. Il 17 agosto, un membro del forum ha invitato chiunque fosse interessato a inviare un PM per fare un accordo. Lo stesso giorno anche un altro membro del forum, chiamato “DukeEugene”, ha pubblicato un messaggio nel suo account in cui pubblicizzava il malware:
“Android botnet ERMAC. Affitterò una nuova botnet Android con ampie funzionalità a una ristretta cerchia di persone (10 persone). 3k$ al mese. Dettagli in PM.”
DukeEugene è un attore di minacce noto per essere dietro il trojan bancario BlackRock, scoperto dai ricercatori di Threatfabric nel 2020.
ERMAC utilizza strutture di dati quasi identiche a Cerberus quando comunica con il C2, usa gli stessi dati di stringa e altre specifiche identiche. Differisce da Cerberus per l’utilizzo di diverse tecniche di offuscamento e un nuovo metodo di crittografia delle stringhe, utilizzando l’algoritmo di crittografia Blowfish.
“Rispetto al Cerberus originale, ERMAC utilizza uno schema di crittografia diverso in comunicazione con il C2: i dati sono crittografati con AES-128-CBC e preceduti da una doppia parola contenente la lunghezza dei dati codificati”, si legge nell’analisi.
I comandi che ERMAC riceve ed elabora sono quasi identici agli ultimi comandi di Cerberus. Introduce un paio di comandi che possono svuotare la cache dell’applicazione specificata e rubare gli account del dispositivo.
Threatfabric ha identificato diverse campagne con ERMAC coinvolto. La prima grande campagna è iniziata a fine agosto in cui ERMAC si è mascherato da Google Chrome. In altre ERMAC si è mascherato da app antivirus, bancarie e lettori multimediali. Al momento sta prendendo di mira la Polonia e viene distribuito sotto forma di servizio di consegna e applicazioni governative.
“Sebbene manchi di alcune potenti funzionalità come RAT, rimane una minaccia per gli utenti di mobile banking e gli istituti finanziari di tutto il mondo”, concludono gli esperti di Threatfabric.
https://www.threatfabric.com/blogs/ermac-another-cerberus-reborn.html
