Специалисты ThreatFabric рассказали о новом трояне ERMAC, который пока атакует лишь польских пользователей, но нацелен на 378 банковских приложений и приложений-кошельков.
Исследователи пишут, что ERMAC основан на исходниках известной малвари Cerberus и им управляет группировка, стоявшая за малварью BlackRock. Помимо общих черт с Cerberus, новый вредонос отличается использованием обфускации и шифрования Blowfish для связи управляющим сервером.
Считается, что первые атаки с применением ERMAC начались в конце августа 2021 года, и тогда вредонос маскировался под приложение Google Chrome. Также исследователи были свидетелями того, как ERMAC маскируется под антивирусные, банковские и мультимедийные приложения, а также приложения служб доставки и многие другие.
Впервые упоминание ERMAC появилось на хак-форуме летом текущего года. Тогда некто под ником DukeEugene предложил потенциальным клиентам «арендовать новый ботнет для Android с широкими функциональными возможностями» за 3000 долларов в месяц.
DukeEugene — один из создателей BlackRock, малвари о которой эксперты ThreatFabric рассказывали в прошлом году. Этот вредонос, предназначенный для кражи данных, сочетал в себе функции инфостилера и кейлоггера, и был создан на базе другого банковского трояна, Xerxes (который, в свою очередь, является производной от LokiBot для Android, чей исходный код был выложен в открытый доступ в мае 2019 года).
Специалисты отмечают, что свежие образцы BlackRock не встречались им уже давно, зато появился ERMAC. То есть, вероятно, «DukeEugene перешел с использования BlackRock на ERMAC».
ERMAC, как и другие банкеры, предназначен для кражи контактной информации, текстовых сообщений, открытия произвольных приложений и запуска оверлеев для множества финансовых приложений (с целью получения учетных данных). Кроме того, он обладает рядом новых функций, которые, к примеру, позволяют ему очищать кеш определенных приложений и воровать учетные записи, хранящиеся на устройстве.
«История ERMAC еще раз доказывает, как утечки исходного кода вредоносных программ могут приводить не только к медленному исчезновению этих семейств малвари, но и к появлению новых угроз и злоумышленников», — подытоживают эксперты.