【安全资讯】ERMAC安卓银行木马源代码泄露 基础设施全面曝光

概要：

安卓银行木马ERMAC第三代源代码的意外泄露，彻底暴露了这款恶意软件即服务（MaaS）平台的内部架构及其运营商的基础设施。此次泄露事件不仅严重削弱了该犯罪企业的运营能力，更可能催生出更难检测的新变种，对全球移动金融安全构成持续威胁。

主要内容：

网络安全公司Hunt.io的研究人员在2024年3月进行网络扫描时，于一个开放目录中发现了名为“Ermac 3.0.zip”的压缩文件。该档案包含了木马的完整代码库，涵盖后端、前端控制面板、数据外泄服务器、部署配置以及用于生成定制化木马APK的构建器和混淆器。

ERMAC 3.0的技术能力得到显著增强，其PHP编写的C2后端、React前端面板、基于Go的外泄服务器及Kotlin后门构成了完整攻击链。新版本采用AES-CBC加密通信，改进了表单注入技术，能够窃取短信、联系人、Gmail邮件内容，并支持远程拍照、应用管理、发送虚假推送通知等设备控制功能。

威胁行为体的重大操作安全失误导致基础设施全面暴露。研究人员通过SQL查询识别出活跃的C2端点、控制面板和外泄服务器，发现系统中存在硬编码JWT令牌、默认root凭证以及管理员面板缺乏注册保护等致命漏洞。

此次泄露直接侵蚀了客户对该MaaS平台的信任，同时使检测方案能更有效识别ERMAC。然而源代码若被其他威胁行为体获取，可能导致出现更隐蔽的改进版本，持续威胁全球700多个银行、购物和加密货币应用的用户。