29 Июня 2022 08:08 29 Июн 2022 08:08 |

Поделиться

В продаже появилась дорогая программа для захвата ПК и кражи криптокошельков

Золотая отмычка

Банковский троянец под Android ERMAC обновился до версии 2.0 и увеличил количество атакуемых приложений с 378 до 467. Троянец предназначен для кражи реквизитов доступа к банковским приложениям и криптокошелькам.

ERMAC на данный момент продается через даркнет-сайты за очень серьезные деньги: подписка на него обойдется в $5 тыс., что на $2 тыс. больше, чем подписка на первую версию, сообщает издание Bleeping Computer.

Первая киберкампания, в которой отмечено использование ERMAC 2.0, нацелена на польский рынок доставки продуктов питания. Троянец интегрирован в фальшивое приложение Bolt Food, которое распространялось с поддельного сайта службы доставки. Поддельный сайт до сих пор работает.

По всей видимости, жертв заманивают с помощью фишинговых сообщений в почте, через социальные сети и SMS. Если они имеют неосторожность скачать приложение с поддельного сайта, при установке оно требует полный контроль над устройством (чего легитимное приложение делать не будет). Это позволяет ему перекрывать экран смартфона или планшета фальшивыми страницами, имитирующими интерфейс банковских или криптоприложений. Естественно, злоумышленники ожидают, что жертвы введут свои логины и пароли.

Технические аспекты

Оказавшись на устройстве, ERMAC определяет, какие именно целевые приложения установлены на нем, и отправляет эти сведения контрольному серверу.

Тот в ответ присылает соответствующие модули инъекции, которые вредонос расшифровывает и сохраняет в XML-файле общих настроек (Shared Preferences) settings.xml.

При запуске банковских или криптоприложений со стороны жертвы производится инъекция и поверх интерфейса легитимного приложения выводится фишинговый экран для ввода реквизитов доступа. Перехваченные таким образом логин и пароль отправляются на тот же контрольный сервер.

Польшей дело, скорее всего, не ограничится: ERMAC способен атаковать банковские и криптоприложения в широком географическом диапазоне и поддерживает множество языков.

Эксперты компании Cyble считают, что ERMAC 2.0 написан на основе вредоноса Cerberus («Цербер»), а не с нуля.

ERMAC 2.0, скорее всего, не будет работать в полной мере на устройствах с Android 11 и 12, поскольку для этих версий ОС Google ввел дополнительные ограничения на использования функций Accessibility Service, а именно этими функциями вредонос и пытается злоупотреблять.

В любом случае, эксперты не рекомендуют скачивать приложения откуда-либо, кроме официального магазина Google Play Store, чтобы избежать заражений.

«Исходный код Cerberus был опубликован в 2020 г., — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Эффективность этой вредоносной программы проверена многократно, так что вполне закономерно и ожидаемо, что авторы других вредоносов пытаются адаптировать исходники “Цербера” для своих нужд. Высокая цена за подписку — лишнее подтверждение тому, что основные операторы троянца уверены в его эффективности. И, судя по всему, небезосновательно».

Роман Георгиев

Поделиться

Подписаться на новости Короткая ссылка