Nova verzija opasnog Android trojanca sada cilja još veći broj aplikacija banaka, ali i kripto novčanike

Mobilni telefoni, 30.05.2022, 08:30 AM

Nova verzija Android bankarskog trojanca ERMAC, verzija 2.0, sada targetira veći broj aplikacija - umesto dosadašnjih 378 broj ciljanih aplikacija je povećan na 467. Malver sada pokriva mnogo širi spektar aplikacija banaka i kripto novčanika iz kojih krade podatke za prijavljivanje, upozorili su istraživači iz firme Cyble.

Ukradene podatke za prijavljivanje malver šalje sajber kriminalcima, koji ih zatim koriste da preuzmu kontrolu nad tuđim bankarskim aplikacijama i kripto novčanicima i izvrše finansijske ili druge prevare.

ERMAC se trenutno rentira članovima Darknet sajtova koji za njega moraju da izdvoje 5.000 dolara mesečno, što je 2 hiljade dolara više od cene prve verzije, zbog nadogradnje funkcija i popularnosti malvera.

Prva aplikacija preko koje je distribuirana nova verzija ERMAC-a je Bolt Food za poljsko tržište. Sajber kriminalci su distribuirali ovu Android aplikaciju preko veb sajta „bolt-food[.]site“, imitirajući legitimnu uslugu dostave hrane.

Korisnici do lažnog sajta dolaze putem fišing imejla, objava na društvenim mrežama, preko linkova u SMS porukama (smishing), zlonamernih reklama (malvertajzing) itd.

Kada preuzmu aplikaciju, dobijaju zahtev za dozvolu koja obezbeđuje napadačima potpunu kontrolu nad uređajem žrtve. Kako su objasnili istraživači iz ESET-a, odobrenje za uslugu pristupačnosti je potrebno da bi se legitimne aplikacije prekrile lažnim prozorima, a žrtva prevarila da unese svoje akreditive u obrasce koji izgledaju legitimno, ali su samo klonovi interfejsa stvarnih aplikacija. Preko usluge pristupačnosti Androida malver posle instalacije sebi daje 43 dozvole, uključujući pristup SMS porukama, pristup kontaktima, kreiranje prozora sa sistemskim upozorenjima, snimanje zvuka i pristup za čitanje i pisanje u memoriji.

ERMAC prvo proverava koje su aplikacije instalirane na uređaju, a zatim šalje informacije na C2 server. Odgovor sadrži module koji odgovaraju listi aplikacija.

Aplikacije na koje cilja ERMAC 2.0 uključuju banke iz celog sveta, što malver čini pogodnim za primenu u mnogim zemljama.

ERMAC 2.0 ima mnogo sličnosti sa malverom „Cerberus“, pa istraživači misle da je druga verzija ERMAC-a bazirana na njemu.

Opsežna lista podržanih aplikacija čini ERMAC moćnim malverom, ali malver bi mogao da naiđe na probleme u verzijama Androida 11 i 12, zahvaljujući ograničenjima koja je Google uveo da spreči zloupotrebu usluge pristupačnosti.

Da biste sprečili infekcije Android trojancima, izbegavajte preuzimanje aplikacija izvan Play prodavnice, posebno sa veb sajtova za koje niste sigurni da su legitimni.