ERMAC V3.0 Banking-Trojaner
Cybersicherheitsforscher haben ERMAC 3.0, die neueste Version eines Android-Banking-Trojaners, analysiert und dabei sowohl erweiterte Funktionen als auch kritische Schwachstellen in der Infrastruktur seiner Betreiber aufgedeckt. Diese Malware stellt einen bemerkenswerten Fortschritt bei der Bekämpfung von Bedrohungen für das Mobile Banking dar und zielt auf eine breite Palette von Finanz- und Digitalplattformen ab.
Inhaltsverzeichnis
Von Cerberus zu ERMAC 3.0: Eine bösartige Evolution
ERMAC wurde erstmals im September 2021 dokumentiert und hat seine Wurzeln in den berüchtigten Familien Cerberus und BlackRock. Die Malware wird einem Bedrohungsakteur namens DukeEugene zugeschrieben und hat sich von frühen Overlay-Angriffen stetig zu einem hochentwickelten Malware-as-a-Service (MaaS)-Betrieb weiterentwickelt.
ERMAC 3.0 bedroht mittlerweile über 700 Anwendungen aus den Bereichen Banking, Shopping und Kryptowährungsdienste. Andere Malware-Varianten wie Hook (ERMAC 2.0), Pegasus und Loot basieren auf ERMAC und übernehmen und modifizieren Codekomponenten, die über nachfolgende Versionen weitergegeben wurden.
Analyse des Malware-Toolkits
Forscher haben den vollständigen Quellcode von ERMAC 3.0 freigelegt und dessen modulare Struktur offengelegt. Das Toolkit besteht aus mehreren miteinander verbundenen Komponenten, die jeweils eine entscheidende Rolle bei der Durchführung groß angelegter Cybercrime-Kampagnen spielen:
Backend C2-Server – Ermöglicht Angreifern, infizierte Geräte zu verwalten und SMS-Protokolle, gestohlene Anmeldeinformationen und Gerätedaten abzurufen.
Frontend-Panel – Bietet eine Bedienerschnittstelle zum Ausgeben von Befehlen, Bereitstellen von Overlays und Anzeigen kompromittierter Informationen.
Exfiltrationsserver – Ein Golang-basierter Server, der speziell für Datendiebstahl und die Verwaltung kompromittierter Geräte vorgesehen ist.
ERMAC-Hintertür – Ein auf Kotlin basierendes Android-Implantat, das in der Lage ist, Geräte in GUS-Staaten fernzusteuern, Daten zu erfassen und zu umgehen.
ERMAC Builder – Ein Konfigurationstool, das die Erstellung bösartiger APKs durch Anpassen von Serverdetails und Backdoor-Parametern automatisiert.
Neue Funktionen in ERMAC 3.0
Der Trojaner der dritten Generation bietet gegenüber seinen Vorgängern mehrere Verbesserungen. Dazu gehören:
- Erweiterte Techniken zur Formularinjektion zum Diebstahl von Anmeldeinformationen.
- Ein neu gestaltetes Command-and-Control-Panel (C2) für optimierte Vorgänge.
- Eine neue Android-Hintertür mit erweiterten Funktionen zur Gerätemanipulation.
- Sichere Kommunikation durch AES-CBC-Verschlüsselung.
Risse in der kriminellen Infrastruktur
Trotz seiner erweiterten Funktionen weist ERMAC 3.0 schwerwiegende operative Mängel auf. Forscher deckten Schwachstellen auf, darunter ein fest codiertes JWT-Geheimnis, ein statisches Admin-Bearer-Token, standardmäßige Root-Anmeldeinformationen und sogar eine uneingeschränkte Registrierung im Admin-Kontrollfeld. Diese Schwachstellen verdeutlichen nicht nur die mangelnde Sicherheitshygiene der Betreiber, sondern bieten auch wertvolle Angriffspunkte für Verteidiger, die die Aktivitäten des Trojaners in realen Kampagnen überwachen, erkennen und unterbinden wollen.
Schutz vor mobilen Bedrohungen
Die Offenlegung der internen Funktionsweise von ERMAC 3.0 erinnert an die zunehmende Raffinesse von Android-Banking-Trojanern. Während Cyberkriminelle ihre Tools ständig verfeinern, können Sicherheitsteams ihre Fehler immer noch ausnutzen. Für normale Nutzer ist Wachsamkeit nach wie vor die wirksamste Verteidigungslinie. Installieren Sie Anwendungen nur aus vertrauenswürdigen Quellen, aktualisieren Sie Ihre Geräte mit den neuesten Sicherheitspatches und vermeiden Sie verdächtige Links oder Anhänge. Durch Vorsicht und proaktives Handeln können Nutzer das Risiko, Opfer von Bedrohungen wie ERMAC 3.0 zu werden, deutlich reduzieren.
