Витік коду ERMAC 3.0 розкриває інфраструктуру банківського трояна для Android

18.08.2025 1 хвилин Автор: Newsman

Дослідники з Hunt.io виявили технічні подробиці ERMAC 3.0 — Android-банківського трояна, витік вихідного коду якого показав серйозні вади в інфраструктурі кіберзлочинців. Він виявився значним етапом еволюції шкідливого ПЗ: нині він атакує понад 700 банківських, торгових і криптовалютних застосунків, застосовує нові способи ін’єкції форм і використовує AES-CBC шифрування.

Hunt.io повідомила, що повний набір вихідних кодів було знайдено у відкритому каталозі за IP-адресою 141.164.62\[.]236:443. Він включав бекенд на PHP і Laravel, фронтенд на React, сервер ексфільтрації на Golang і конструктор для створення Android-бекдорів.

Архітектура трояна містить:

  • C2-сервер, який керує зараженими пристроями й збирає вкрадені дані (SMS, акаунти, технічну інформацію).

  • Фронтенд-панель, що дозволяє злочинцям взаємодіяти з пристроями й керувати накладками.

  • Сервер ексфільтрації для передачі даних.

  • ERMAC-бекдор, написаний на Kotlin, який дозволяє віддалено керувати пристроєм, викрадаючи дані.

  • Конструктор кампаній, за допомогою якого зловмисники можуть налаштовувати власні версії трояна.

Дослідники також виявили критичні слабкості: жорстко прописаний JWT secret, статичний токен адміністратора, дефолтні root-облікові дані та відкриту реєстрацію в адмінпанелі. Це відкриває можливість для відстеження і знешкодження активних операцій.

ERMAC був уперше задокументований у 2021 році ThreatFabric як похідна від троянів Cerberus і BlackRock. Його різні покоління (включно з ERMAC 2.0, відомим як Hook) мали спільні риси з іншими зразками — Pegasus і Loot. Основна мета завжди залишалася незмінною: крадіжка банківських та криптовалютних даних через накладні вікна поверх легітимних застосунків. Атрибуція веде до кіберзлочинця під ніком DukeEugene, який пропонував ERMAC у форматі malware-as-a-service, надаючи клієнтам інфраструктуру для масових атак.

Витік коду ERMAC 3.0 став подвійним ударом: він підтвердив посилення функцій трояна, але водночас оголив слабкі місця інфраструктури. Це дає фахівцям із безпеки нові інструменти для моніторингу, виявлення та блокування кампаній. Подібні витоки можуть стати стратегічною перевагою у боротьбі з кіберзлочинцями, що дедалі частіше працюють за моделлю «злочин як послуга».

Підписатися
Сповістити про
0 Коментарі
Найстаріші
Найновіше Найбільше голосів
Інші статті по темі
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.