پژوهشگران امنیت سایبری اعلام کردند کد منبع کامل تروجان بانکی اندرویدی ERMAC نسخه ۳.۰ از طریق یک دایرکتوری عمومی در اینترنت افشا شده است.
به گزارش افتانا، این بدافزار که نخستینبار در سال ۲۰۲۱ شناسایی شد، یکی از خانوادههای شناختهشده بدافزارهای بانکی اندروید به شمار میرود که با هدف سرقت دادههای حساس، از جمله اطلاعات حسابهای بانکی و کیفپولهای رمزارزی طراحی شده است. نسخه جدید آن اکنون قادر است بیش از ۷۰۰ اپلیکیشن بانکی، خرید آنلاین و خدمات رمزارزی را هدف قرار دهد.
ERMAC به بازیگر تهدیدی با نام مستعارDukeEugene نسبت داده میشود؛ فردی که پیشتر با بدافزارهای Cerberus و BlackRock نیز مرتبط بوده است. بررسیها نشان میدهد این خانواده بدافزار بر پایه کدهای تهدیدات شناختهشده دیگری همچون Hook،Pegasus و Loot توسعه یافته است.
کد منتشرشده شامل بخشهای اصلی زیرساختMaaS این تهدید است، از جمله سرور فرمان و کنترل (C2) مبتنی بر PHP و فریمورک Laravel برای مدیریت دستگاههای آلوده و جمعآوری دادهها، پنل مدیریتی توسعهیافته با React برای ارسال دستورات و مدیریت حملات، سرور استخراج داده نوشتهشده با زبان Go برای انتقال اطلاعات بهسرقترفته، بکدور اندرویدی مبتنی بر Kotlin با قابلیت دریافت دستور و جمعآوری اطلاعات حساس و ابزار ساخت (Builder) که امکان تولید فایلهای آلوده (APK) را برای مهاجمان فراهم میکند.
کارشناسان اعلام کردهاند کد افشاشده دارای نقصهای امنیتی متعددی است از جمله کلیدهای JWT هاردکدشده، توکنهای مدیریتی ثابت، اطلاعات ورود پیشفرض مانند حساب root با گذرواژه «changemeplease» و امکان ثبتنام آزاد در پنل مدیریتی بدون احراز هویت.
به گفته متخصصان، این ضعفها میتواند فرصت مهمی برای مدافعان امنیت ایجاد کند تا از طریق شناسایی و مختلسازی زیرساختها، عملیات فعال این بدافزار را از کار بیندازند.
انتشار کد کامل ERMAC 3.0 علاوه بر آشکار کردن روشهای عملیاتی مهاجمان، امکان تحلیل دقیقتر، تولید شاخصهای تهدید (IOCs)، اجرای برنامههای شکار تهدید و تقویت اقدامات پیشگیرانه در برابر این خانواده بدافزار را فراهم میسازد.
