安全事务消息,一种名为ERMAC的新型病毒出现在互联网上,它主要针对Android平台上的银行应用,研究人员确定ERMAC可以在至少来自378从银行和钱包应用程序窃取财务数据。2021年7月,Threatfabric研究人员首次发现了ERMAC。它的操作模式和代码组成与以前流行的恶意软件Cerberus非常相似。研究人员几乎可以肯定,ERMAC是Cerberus的一种特殊变种。Cerberus于2019年6月作为Anubis恶意软件的变体首次出现。尽管在2020年9月,Cerberus恶意软件团队宣布解散,但木马病毒并没有消失,因为在解散时,该团队以10万美元的价格拍卖了源代码。人气。我们有理由相信ERMAC也是由此而来。8月17日,ID为ermac和DukeEugene的两人开始在地下论坛积极宣传ERMAC木马。DukeEugene还在论坛中发布了如下招聘信息:“ERMAC是一种Android恶意木马。(10人)出租和出售这种功能强大的新型Android木马,月租仅需3000美元,详情可PM。”“值得一提的是,DukeEugene是贝莱德银行木马背后的核心成员。专家认为,ERMAC与BlackRock移动恶意软件背后的团队有着千丝万缕的联系。虽然他们来自同一所学校,但ERMAC与之前的Cerberus恶意软件略有不同。ERMAC使用了不同的混淆技术和加密算法,使得破解起来更加复杂。“虽然使用了不同的混淆技术和一种新的字符串加密方法——河豚加密算法,但我们可以肯定地说,ERMAC是另一种基于Cerberus的木马。”黑客组织发表声明,“与原来的Cerberus相比,ERMAC使用了与C2通信不同的加密方案:数据采用AES-128-CBC加密,数字编码的长度控制在两个字以内。”除了允许清除指定应用程序的缓存内容和窃取设备帐户的命令外,新的银行木马还支持最新的Cerberus命令,这将使木马更易于使用。在撰写本文时,HackerThreatGroup的研究人员在MalwareHunter团队专家的支持下,以快递服务和市政服务为幌子,不断在波兰进行分发。这一次,新的银行木马ERMAC瞄准了300多家银行和移动应用程序。ERMAC的故事再次让我们看到,恶意软件源代码的泄露,不仅会增加病毒和木马的风险系数,甚至有可能成为互利网新一轮供应的诱因。毫无疑问,ERMAC脱胎于Cerberus恶意软件,但它也发展了一些新功能。虽然它还缺少一些类似于RAT的强大功能,但它仍然对全球的银行和金融机构构成严重威胁。
