Il trojan bancario ERMAC è tornato, questa volta nella versione 2.0, è quanto hanno scoperto i ricercatori di ESET che avevano già individuato la prima versione nel 2021. Il trojan in questione si prefigge lo scopo di rubare le vostre credenziali bancarie per svuotare i conti, prendendo di mira e utilizzando in maniera fraudolenta ben 467 app Android.
I malintenzionati possono noleggiare ERMAC 2.0 per 5000 dollari al mese
ERMAC 2.0 viene utilizzato per rubare le credenziali delle app bancarie e di criptovalute, impersonando altre applicazioni legittime; gli sviluppatori di Cyble Research Labs hanno scoperto come sia possibile noleggiare il trojan in questione, pagando 5000 dollari al mese.
Anche la precedente versione, ERMAC 1.0, era disponibile per il noleggio ma ad una cifra più bassa, 3000 dollari al mese, l’aumento della tariffa è indicativo del maggior potenziale della nuova versione; considerate infatti che inizialmente il trojan utilizzava 378 app Android per nascondersi e perpetrare i suoi scopi illeciti, la nuova versione sale ad un portafoglio di 467 app.
Come potete vedere dalle immagini poco sotto, il malware viene distribuito attraverso falsi siti web, creati appositamente e simili in tutto e per tutto agli originali, oppure tramite finti annunci di aggiornamento del browser.
Una volta caduto nella trappola, l’ignaro utente scarica un’applicazione che richiede ben 43 autorizzazioni (fra cui l’accesso alla memoria esterna, l’accesso ai messaggi di testo, l’attivazione dei servizi di accessibilità e tanto altro), con lo scopo di prendere il totale controllo del dispositivo infettato. Una volta concesse le autorizzazioni, il trojan abilita l’attività di sovrapposizione e invia al proprio server Command and Control una lista delle applicazioni installate sul dispositivo; queste vengono poi sostituite con delle versioni false appositamente create, senza che l’utente possa accorgersi di nulla.
Nel momento in cui si utilizza una di queste app, si viene in realtà indirizzati ad una pagina HTML di phishing, che provvede al furto delle credenziali e le invia al server deputato allo scopo. Tra le centinaia di applicazioni coinvolte figurano ad esempio Unocoin (app crittografica indiana) e diverse applicazioni bancarie come la bitbank giapponese, la banca indiana IDBI, la Greater Bank australiana e la Santander Bank di Boston.
A new #Android banker ERMAC 2.0 impersonates #Bolt Food and targets 🇵🇱 Polish users.
Available for rent on underground forums for $5K/month since March 2022, ERMAC 2.0 already has an active campaign. #ESETresearch @LukasStefanko 1/3 pic.twitter.com/hGeD4ZSwve— ESET research (@ESETresearch) May 18, 2022
I ricercatori di Cyble fanno inoltre notare come ERMAC si basi su un noto malware chiamato Cerberus, il che vuol dire che chi sta dietro ad ERMAC 2.0 continuerà sicuramente a creare nuove e più avanzate versioni del trojan; il fatto poi che sia disponibile “a noleggio” ne espande ulteriormente la pericolosità, visto che chiunque può decidere di utilizzarlo per perseguire i propri scopi.
Nonostante sembri che i dispositivi equipaggiati con Android 11 e Android 12 siano relativamente al sicuro (a causa delle restrizioni imposte sull’abuso del servizio di accessibilità rispetto alle versioni precedenti), i consigli per salvaguardare la propria sicurezza sono sempre gli stessi: scaricate applicazioni solo dal Play Store, evitando fonti di terze parti poco conosciute e diffidando di sviluppatori non noti.
Potrebbe interessarti anche: FluBot non risparmia nessuno, fate attenzione al ritorno del malware