Lefedettség, terjesztés, fejlesztés
Az ERMAC első változata 2021-ben jelent meg a Cerberus trójai továbbfejlesztéseként, amelyet egy BlackRock nevű hackercsoport üzemeltetett. 2022-re a 2.0-s verzió kibővült: immár havi 1,8 millió forintért (5000 USD) bérelhették a kiberbűnözők, és több mint 378 alkalmazást céloztak vele. 2023-ban a csoport egy újabb trójait dobott piacra, amely az ERMAC továbbfejlesztése volt, és a 3.0-s verzió már több mint 700 banki, vásárlói és kriptovaluta-alkalmazást támadott.
Új képességek és biztonsági hibák
Az ERMAC 3.0 több fronton is fejlődött: egy PHP-alapú parancsközpont, React-alapú vezérlőpanel, Go-alapú adatgyűjtő szerver, Kotlin hátsó ajtó és egy APK-generátor panel segítette a támadókat. Az új verzió ügyesebb formainjektálást, AES-CBC titkosítást, alaposabban átdolgozott vezérlőpanelt és fejlettebb adatlopási, eszközvezérlési funkciókat hozott. Lopja az SMS-eket, kontaktokat, Google-fiókok leveleit, fájlokat listáz, fotót készít a kamerával, alkalmazásokat kezel, hamis értesítéseket jelenít meg, és távolról is képes eltüntetni magát.
Amatőr hibák, leleplezett infrastruktúra
A kód kiszivárgása súlyos operatív hibákat is megmutatott. Nyitott infrastruktúrát találtak, C2-vezérlőszervereket, paneleket, adatgyűjtő szervereket, ahol egyszerű SQL lekérdezésekkel az elemzők könnyen hozzáfértek mindenhez. A vezérlőpaneleken nem volt regisztrációvédelem, alapértelmezett root jelszavak, beégetett tokenek – bárki hozzáférhetett, alakíthatta vagy tönkretehette a rendszert.
Mi várható most?
A szivárgás gyengíti az ERMAC hírnevét és a bűnözői vevők bizalmát, hiszen kiderült: sem védettség, sem titok nem garantált. Bár a vírusvédelmi rendszerek most könnyebben azonosítják majd az ERMAC-ot, előfordulhat, hogy a kód más támadók kezébe kerül, és ügyesebben rejtőzködő változatok jelennek meg a jövőben.
