Хакеры, стоящие за мобильной вредоносной программой BlackRock, снова появились с новым банковским трояном для Android под названием ERMAC, который нацелен на польских пользователей и имеет свои корни в печально известной вредоносной программе Cerberus, согласно последним исследованиям.
«Новый троян уже активно распространяется и нацелен на 378 банковских и финансовых приложений с оверлеями» - сообщил генеральный директор ThreatFabric Ченгиз Хан Сахин в заявлении по электронной почте. Считается, что первые кампании с участием ERMAC начались в конце августа под видом приложения Google Chrome.
С тех пор атаки распространились на целый ряд приложений, таких как банковские программы, медиаплееры, службы доставки, правительственные приложения и антивирусные решения, такие как McAfee.
Почти полностью основанные на печально известном банковском трояне Cerberus, выводы голландской фирмы по кибербезопасности были сделаны на основе сообщений на форуме, опубликованных 17 августа хакером по имени DukeEugene, который приглашал потенциальных клиентов «арендовать новый ботнет под Android с широкой функциональностью для узкого круга людей» за $3 000 в месяц.
DukeEugene также известен как принимавший участие в кампании BlackRock, о которой стало известно в июле 2020 года. Обладая широким спектром возможностей для кражи данных, программа для кражи информации и кейлоггер происходят от другого банковского штамма под названием Xerxes, который сам является штаммом банковского трояна LokiBot под Android, а исходный код вредоносной программы был обнародован ее автором примерно в мае 2019 года.
В сентябре 2020 года авторы Cerberus опубликовали собственный исходный код в виде бесплатного трояна удаленного доступа (RAT) на подпольных хакерских форумах после неудачного аукциона, на котором за троян просили 100 000 долларов.
ThreatFabric также отметила прекращение появления свежих образцов BlackRock после появления ERMAC, что повышает вероятность того, что «DukeEugene переключился с использования BlackRock в своих операциях на ERMAC». Помимо сходства с Cerberus, свежеобнаруженный штамм отличается использованием методов обфускации и схемы шифрования Blowfish для связи с командно-контрольным сервером.
ERMAC, как и его прародитель и другие банковские вредоносные программы, предназначен для кражи контактной информации, текстовых сообщений, открытия произвольных приложений и запуска оверлейных атак на множество финансовых приложений для подмены учетных данных. Кроме того, в нем появились новые функции, позволяющие вредоносному ПО очищать кэш определенного приложения и похищать учетные данные, хранящиеся на устройстве.
«История с ERMAC еще раз показывает, как утечка исходного кода вредоносного ПО может привести не только к медленному «испарению» семейства вредоносных программ, но и к появлению новых угроз в ландшафте» - заявили исследователи. «Хотя в нем отсутствуют некоторые мощные функции, такие как удаленное управление, он остается угрозой для пользователей мобильного банкинга и финансовых учреждений по всему миру».
Источник: https://thehackernews.com
