Утечка исходного кода Android-трояна ERMAC 3.0 раскрыла его слабости

Утечка исходного кода Android-трояна ERMAC 3.0 раскрыла его слабости

Утечка исходного кода Android-трояна ERMAC 3.0 раскрыла его слабости

Исследователи в области кибербезопасности рассказали о новой версии банковского трояна ERMAC — и нашли в ней не только расширенные функции, но и серьёзные ошибки в инфраструктуре самих операторов.

ERMAC 3.0 научился атаковать больше 700 приложений — от банковских и шопинг-сервисов до криптовалютных кошельков.

Для этого используется поддельная форма, ворующая данные, а также обновлённый механизм командного управления и новая версия Android-бэкдора. При этом заражения не затрагивают устройства, находящиеся в странах СНГ — разработчики явно настроили исключения.

По данным Hunt.io, исследователям удалось получить полный исходный код сервиса, распространяемого по модели «вредонос как услуга». Среди компонентов — C2-сервер на PHP и Laravel, панель управления с фронтендом на React, сервер для эксфильтрации данных на Go и Android-билдер для подготовки заражённых приложений.

 

Внутри нашли и массу промахов. В коде остались жёстко прописанные секреты — статический админ-токен, JWT-ключ и дефолтные учётные записи уровня root.

Более того, админ-панель позволяла свободно регистрировать новые аккаунты. По словам Hunt.io, эти недоработки дают возможность безопасникам проще отслеживать и блокировать активные кампании с использованием ERMAC 3.0.

ERMAC известен с 2021 года и считается потомком Cerberus и BlackRock. Позднее на его базе появились и другие вредоносы — включая Hook (ранее известный как ERMAC 2.0), Pegasus и Loot. Новая утечка показала, что даже в руках киберпреступников «сервисная модель» не всегда без изъянов.

Напомним, у «Ермака» есть наследник — троян Hook. У последнего набор команд увеличился более чем в два раза, добавлены функции стриминга экрана и обеспечения взаимодействия с UI.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новая схема: магнитный ключ для шлагбаума ведёт к краже из онлайн-банка

Набирает распространение новая схема телефонного мошенничества, в которой злоумышленники предлагают жителям оформить «магнитный ключ» для открытия шлагбаума. На самом деле конечной целью аферистов является получение доступа к онлайн-банку. Для убедительности они представляются сотрудниками управляющих компаний.

О такой схеме рассказал RT заведующий лабораторией доверенного искусственного интеллекта РТУ МИРЭА Юрий Силаев.

Для «активации» ключа мошенники просят назвать код из СМС. Однако, как пояснил эксперт, этот код на самом деле является одноразовым паролем для входа в интернет-банк.

Получив код, злоумышленники получают полный контроль над личным кабинетом. И поскольку данные передает сам пользователь, антифрод-системы банков не способны остановить такие операции.

«Схема работает потому, что человеку предлагают не избежать угрозы, а получить выгоду — “бесплатный доступ и порядок во дворе”. Это снижает бдительность и подталкивает к поспешным действиям», — отметил Юрий Силаев.

Эксперт напомнил, что управляющие компании никогда не запрашивают по телефону СМС-коды, реквизиты карт или паспортные данные. Кроме того, установка шлагбаума регулируется законом: решение может быть принято только на общем собрании собственников, а платежи проводятся исключительно на расчетный счет компании по официальным реквизитам.

При получении подобных звонков специалист рекомендует немедленно прервать разговор и уточнить в управляющей компании, действительно ли проводятся соответствующие работы.

Ранее в этом году мошенники уже использовали похожую схему, связанную с заменой домофонных ключей. Тогда целью атак было получение доступа к аккаунтам на Госуслугах или заражение смартфонов жертв вредоносными приложениями.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru