ERMAC,一个新的银行特洛伊木马程序,基于Cerberus恶意软件的代码
来自威胁法布里克的研究人员在7月发现了一个新的Android银行木马称为ERMAC,几乎完全基于流行的银行木马Cerberus。Cerberus 的源代码于2020 年 9 月在其运营商未能进行拍卖后在地下黑客论坛上发布。
据专家称,ERMAC由贝莱德移动恶意软件背后的威胁行为者操作。
8月17日,两个名为"ermac"和"DukeEugene"的论坛成员开始为恶意软件做广告。"杜克尤金"在他的帐户中发布了以下消息:
"安卓僵尸网络ERMAC。我将租一个新的机器人僵尸网络与广泛的功能,以狭窄的人圈(10人)。每月3千美元。下午的详细信息。
杜克尤金是贝莱德银行特洛伊木马的幕后黑手。
ERMAC 在使用不同的混淆技术和吹鱼加密算法方面与 Cerberus 不同。
"尽管使用了不同的混淆技术和新的字符串加密方法 - 使用吹鱼加密算法,我们绝对可以说,ERMAC是另一个基于Cerberus的特洛伊木马。 与原始 Cerberus 相比,ERMAC 在与 C2 通信时使用不同的加密方案:数据使用 AES-128-CBC 进行加密,并预用包含编码数据长度的双字。
新的银行特洛伊木马程序支持相同的最新 Cerberus 命令,除了几个命令,允许清除指定应用程序的缓存内容和窃取设备帐户。
清除现金/透明卡什触发打开指定的应用程序详细信息获取帐户/日志计数触发窃取设备上的帐户列表
在编写本报告时,威胁食品研究人员在@malwrhunterteam专家的支持下确定,ERMAC只针对波兰,波兰是打着交付服务和政府申请的幌子分发的。
新的银行特洛伊木马程序可以针对超过三百个银行和移动应用程序。
"ERMAC 的故事再一次展示了恶意软件源代码泄漏如何不仅导致恶意软件家族的蒸发速度,而且还给威胁格局带来新的威胁/行为者。ERMAC 建在塞伯鲁斯地下室,引入了几个新功能。尽管它缺乏一些强大的功能,如RAT,但它仍然是全球移动银行用户和金融机构的威胁。
