【安全资讯】ERMAC新型Android银行木马分析

猎影实验室 2021-09-29 07:06:16 2489人浏览

引言

研究人员在7月份发现了一种名为ERMAC的新型Android银行木马。该木马基于Cerberus恶意软件的源代码,与BlackRock背后的运营商有关。ERMAC木马自8月下旬开始活跃,伪装成Google Chrome、防病毒、银行和媒体播放器等应用,目标包括378个银行和钱包应用程序。

 

简况

ERMAC 是由 BlackRock 移动恶意软件背后的攻击者操作的。8 月 17 日,名为“ermac”和“DukeEugene”的论坛成员开始宣传该恶意软件。ERMAC和其他银行恶意软件一样,被设计用来窃取联系信息、短信、打开任意应用程序,并触发针对大量金融应用程序的覆盖攻击,以刷取登录凭据。此外,它还开发了新功能,允许恶意软件清除特定应用程序的缓存并窃取存储在设备上的帐户。

 

ERMAC 与 Cerberus 的不同之处在于,ERMAC使用了不同的混淆技术和 Blowfish 加密算法。并且与原始的 Cerberus 相比,ERMAC 使用不同的加密方案与 C2 通信,数据使用 AES-128-CBC 加密。ERMAC接收和处理的命令几乎与最新的Cerberus命令相同,但添加了几个命令,允许打开指定的应用程序详细信息并窃取设备帐户。

 

研究人员识别出几个涉及 ERMAC 的活动。第一个主要活动于8月下旬开始,ERMAC伪装成Google Chrome,之后还伪装成伪装成防病毒、银行和媒体播放器等应用。目前,攻击者正以波兰为目标,以交付服务和政府应用程序的名义分发ERMAC。ERMAC伪装成以下应用:

总结

ERMAC几乎完全基于Cerberus银行木马,而Cerberus 的源代码于 2020 年 9 月在地下黑客论坛上公开。这说明恶意软件源代码泄漏会为网络威胁领域带来新的攻击者。ERMAC引入了几个不同于Cerberus的新功能,对全世界的手机银行用户和金融组织构成巨大威胁。

失陷指标(IOC)8
银行木马 ERMAC 金融
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。