Ermac

Pesquisadores de cibersegurança revelaram detalhes sobre o trojan bancário para Android ERMAC 3.0, que apresenta uma evolução significativa em suas capacidades de injeção de formulários e roubo de dados, visando mais de 700 aplicativos de bancos, compras e criptomoedas. Inicialmente documentado em setembro de 2021, o ERMAC é atribuído ao ator de ameaças DukeEugene e é considerado uma evolução dos malwares Cerberus e BlackRock.

A nova versão inclui métodos de injeção de formulários aprimorados, um painel de comando e controle (C2) reformulado, um novo backdoor para Android e comunicações criptografadas com AES-CBC. A Hunt.io conseguiu acessar o código-fonte completo do malware, revelando falhas críticas na infraestrutura dos operadores, como um segredo JWT codificado e um token de administrador estático. Essas vulnerabilidades oferecem oportunidades para que defensores rastreiem e interrompam operações ativas do ERMAC.

Pesquisadores de cibersegurança da Hunt.io descobriram e analisaram o código-fonte completo do ERMAC V3.0, um dos trojans bancários mais sofisticados para Android. O vazamento ocorreu em março de 2024, quando a equipe identificou um diretório exposto contendo o pacote completo do malware, incluindo seu backend em PHP e Laravel, frontend em React e servidor de exfiltração em Golang. O ERMAC V3.0 é capaz de atacar mais de 700 aplicativos de bancos, compras e criptomoedas globalmente, utilizando técnicas avançadas de injeção de formulários para roubar credenciais e dados financeiros. A análise revelou vulnerabilidades críticas, como segredos JWT hardcoded e credenciais padrão não alteradas, que podem ser exploradas por defensores. Além disso, o malware utiliza criptografia AES-CBC, mas com uma chave e nonce hardcoded, o que facilita sua detecção. A Hunt.io também conseguiu vincular o código vazado a operações ativas do ERMAC, destacando a necessidade urgente de medidas de segurança mais robustas contra esse tipo de ameaça.