Операторы, стоящие за малварью BlackRock, вновь напомнили о себе, на этот раз банковским трояном ERMAC, первой жертвой которого стала Польша. Судя по данным исследований, в его основе лежит печально известный Cerberus.
«Новый троян уже активно распространяется, представляя угрозу для 378 банковских приложений и кошельков, которые атакует по принципу «оверлея». – сообщил исполнительный директор ThreatFabric Ченгиз Хан Сахин (Cengiz Han Sahin) в электронном заявлении.
В первых кампаниях, начавшихся в конце августа, ERMAC маскировался под приложение Google Chrome.
С тех пор поверхность атаки расширилась, охватив широкий спектр приложений из банковской среды, а также медиа-проигрыватели, службы доставки, приложения государственных услуг и даже антивирусные решения вроде McAfee.
Специалисты датской фирмы по кибербезопасности обнаружили на тематических форумах посты небезызвестного DukeEugene, размещенные им 17 августа. В своих сообщениях он призывает будущих клиентов «арендовать новый ботнет под Android с широкой функциональностью для ограниченного круга лиц» по цене $3,000/месяц.
DukeEugene также известен как оператор, стоящий за нашумевшей кампанией трояна BlackRock, всплывшего в июле 2020 года. Обладая множеством возможностей для кражи данных, этот инфостилер и кейлоггер стал наследником другого банковского зловреда под названием Xerxes, который, в свою очередь, стал отпрыском LokiBot, и чей исходный код автор раскрыл в мае 2019 года.
Что касается Cerberus, то его исходники были обнародованы в сентябре 2020 на андерграундных хакерских форумах в виде бесплатного трояна удаленного доступа (RAT), что последовало за безуспешным аукционом, на котором за разработку просили $100,000.
Представители ThreatFabric также отметили, что с момента выхода ERMAC перестали появляться новые образцы BlackRock. Это еще больше повышает вероятность того, что «DukeEugene переключился с использования BlackRock на ERMAC». Помимо общих черт с Cerberus, свежий штамм выделяется тем, что для связи с C&C сервером использует техники обфускации и схемы шифрования Blowfish.
ERMAC, как и его предок, а также прочие банковские вредоносы, спроектирован для кражи контактной информации, текстовых сообщений, запуска произвольных приложений и активации оверлей-атак на множество финансовых приложений с целью хищения данных авторизации. Кроме этого, в него добавлены новые возможности, позволяющие очищать кэш отдельного приложения и перехватывать сохраненные на устройстве аккаунты.
«История с ERMAC лишний раз демонстрирует, как утечки исходного кода вредоносов могут привести не только к медленному исчезновению семейства малвари, но и появлению новых злоумышленников в этой среде». – Сообщил один из исследователей. – «Несмотря на то, что новинка лишена некоторых мощных возможностей вроде RAT, она остается угрозой для пользователей мобильных банков и финансовых институтов по всему миру».
