Le code source de la version 3 du cheval de Troie bancaire ERMAC Android a été divulgué en ligne, exposant les composants internes de la plate-forme de logiciels malveillants en tant que service et de l’infrastructure de l’opérateur.
La base de code a été découverte dans un répertoire ouvert par Hunt.io chercheurs lors de la recherche de ressources exposées en mars 2024.
Ils ont localisé une archive nommée Ermac 3.0.zip, qui contenait le code du malware, y compris le backend, le frontend( panneau), le serveur d’exfiltration, les configurations de déploiement, ainsi que le générateur et l’obfuscateur du cheval de Troie.
Les chercheurs ont analysé le code, constatant qu’il élargissait considérablement les capacités de ciblage par rapport aux versions précédentes, avec plus de 700 applications bancaires, d’achat et de crypto-monnaie.
ERMAC a été documenté pour la première fois en septembre 2021 par ThreatFabric – un fournisseur de solutions de fraude aux paiements en ligne et de renseignements pour le secteur des services financiers, comme une évolution du cheval de Troie bancaire Cerberus exploité par un acteur de la menace connu sous le nom de « BlackRock ».’
ERMAC v2.0 a été repéré par ESET en mai 2022, loué à des cybercriminels pour un montant mensuel de 5 000 USD et ciblant 467 applications, contre 378 dans la version précédente.
En janvier 2023, ThreatFabric a observé BlackRock promouvoir un nouvel outil malveillant Android nommé Hook, qui semblait être une évolution d’ERMAC.
Fonctionnalités ERMAC v3. 0
Hunt.io trouvé et analysé le backend PHP de commande et de contrôle (C2) d’ERMAC, le panneau frontal React, le serveur d’exfiltration basé sur Go, la porte dérobée Kotlin et le panneau de construction pour générer des APK trojanisés personnalisés.
Selon les chercheurs, ERMAC v3.0 cible désormais les informations utilisateur sensibles dans plus de 700 applications.
De plus, la dernière version étend les techniques d’injection de formulaires précédemment documentées, utilise AES-CBC pour les communications cryptées, dispose d’un panneau opérateur révisé et améliore le vol de données et le contrôle des appareils.
Plus précisément, Hunt.io a documenté les fonctionnalités suivantes pour la dernière version d’ERMAC:
- Vol de SMS, de contacts et de comptes enregistrés
- Extraction des sujets et des messages Gmail
- Accès aux fichiers via les commandes « liste » et » téléchargement’
- Envoi de SMS et renvoi d’appel pour abus de communication
- Capture de photos via la caméra frontale
- Gestion complète de l’application (lancement, désinstallation, effacement du cache)
- Affichage de fausses notifications push pour tromperie
- Désinstallation à distance (killme) pour l’évasion
Infrastructure exposée
Hunt.io les analystes ont utilisé des requêtes SQL pour identifier l’infrastructure exposée en direct actuellement utilisée par les acteurs de la menace, identifiant les points de terminaison C2, les panneaux, les serveurs d’exfiltration et les déploiements de builder.
Outre l’exposition du code source du logiciel malveillant, les opérateurs ERMAC ont connu plusieurs autres défaillances majeures de la sécurité opérationnelle, notamment des jetons JWT codés en dur, des informations d’identification root par défaut et aucune protection d’enregistrement sur le panneau d’administration, permettant à quiconque d’accéder, de manipuler ou de perturber les panneaux ERMAC.
Enfin, les noms des panneaux, les en-têtes, les noms des packages et diverses autres empreintes opérationnelles laissaient peu de doutes sur l’attribution et facilitaient grandement la découverte et la cartographie de l’infrastructure.
La fuite de code source ERMAC V3.0 affaiblit le fonctionnement du logiciel malveillant, d’abord en érodant la confiance des clients dans le MaaS dans sa capacité à protéger les informations des forces de l’ordre ou à permettre l’exécution de campagnes à faible risque de détection.
Les solutions de détection des menaces sont également susceptibles de mieux détecter l’ERMAC. Cependant, si le code source tombe entre les mains d’autres acteurs de la menace, il est possible d’observer à l’avenir des variantes modifiées d’ERMAC plus difficiles à détecter.