【安全资讯】ERMAC新型Android银行木马分析

引言

研究人员在7月份发现了一种名为ERMAC的新型Android银行木马。该木马基于Cerberus恶意软件的源代码，与BlackRock背后的运营商有关。ERMAC木马自8月下旬开始活跃，伪装成Google Chrome、防病毒、银行和媒体播放器等应用，目标包括378个银行和钱包应用程序。

简况

ERMAC 是由 BlackRock 移动恶意软件背后的攻击者操作的。8 月 17 日，名为“ermac”和“DukeEugene”的论坛成员开始宣传该恶意软件。ERMAC和其他银行恶意软件一样，被设计用来窃取联系信息、短信、打开任意应用程序，并触发针对大量金融应用程序的覆盖攻击，以刷取登录凭据。此外，它还开发了新功能，允许恶意软件清除特定应用程序的缓存并窃取存储在设备上的帐户。

ERMAC 与 Cerberus 的不同之处在于，ERMAC使用了不同的混淆技术和 Blowfish 加密算法。并且与原始的 Cerberus 相比，ERMAC 使用不同的加密方案与 C2 通信，数据使用 AES-128-CBC 加密。ERMAC接收和处理的命令几乎与最新的Cerberus命令相同，但添加了几个命令，允许打开指定的应用程序详细信息并窃取设备帐户。

研究人员识别出几个涉及 ERMAC 的活动。第一个主要活动于8月下旬开始，ERMAC伪装成Google Chrome，之后还伪装成伪装成防病毒、银行和媒体播放器等应用。目前，攻击者正以波兰为目标，以交付服务和政府应用程序的名义分发ERMAC。ERMAC伪装成以下应用：

总结

ERMAC几乎完全基于Cerberus银行木马，而Cerberus 的源代码于 2020 年 9 月在地下黑客论坛上公开。这说明恶意软件源代码泄漏会为网络威胁领域带来新的攻击者。ERMAC引入了几个不同于Cerberus的新功能，对全世界的手机银行用户和金融组织构成巨大威胁。