ERMAC V3.0 Banking Trojan Source Code Leak Exposes Full Malware Infrastructure

2 minute de lecture

Mis à jour : August 16, 2025

Fuite du Code Source du Cheval de Troie Bancaire ERMAC 3.0 : L’Infrastructure Dévoilée

La dernière version du cheval de Troie bancaire Android, ERMAC 3.0, a subi une fuite de son code source complet, exposant ainsi son infrastructure opérationnelle. ERMAC 3.0 représente une évolution significative du malware, élargissant ses capacités d’injection de formulaires et de vol de données pour cibler plus de 700 applications bancaires, commerciales et de cryptomonnaies. Cette nouvelle itération se distingue par l’ajout de nouvelles méthodes d’injection de formulaires, un panneau de commande et de contrôle (C2) remanié, une nouvelle porte dérobée Android et des communications chiffrées AES-CBC.

Points Clés :

Évolution du Malware : ERMAC 3.0 est une évolution majeure par rapport aux versions précédentes, avec une portée de ciblage élargie à plus de 700 applications. Il partage des origines avec d’autres familles de logiciels malveillants Android bien connues comme Hook, Pegasus et Loot.
Infrastructure Dévoilée : La fuite a permis de découvrir l’intégralité de l’infrastructure du malware-as-a-service (MaaS), incluant le code source du backend en PHP/Laravel, du frontend en React, du serveur d’exfiltration en Golang, et du panneau de création de campagnes malveillantes.
Composants de l’Infrastructure :
- Serveur Backend C2 : Permet aux opérateurs de gérer les appareils compromis et d’accéder aux données volées (SMS, identifiants, données appareil).
- Panneau Frontend : Interface pour interagir avec les appareils ciblés, gérer les superpositions, et consulter les données volées.
- Serveur d’Exfiltration : Serveur en Golang dédié à l’extraction des données sensibles.
- Porte Dérobée ERMAC : Implantation Android en Kotlin pour contrôler les appareils compromis, collecter des données et exclure les appareils des nations de la CEI.
- Constructeur ERMAC : Outil aidant à la configuration et à la création de campagnes de diffusion du malware.

Vulnérabilités Détectées :

La fuite a mis en lumière plusieurs faiblesses critiques dans l’infrastructure d’ERMAC 3.0, notamment :

Un secret JWT codé en dur (hardcoded).
Un jeton porteur d’administrateur statique.
Des identifiants root par défaut.
Une inscription de compte ouverte sur le panneau d’administration.

Recommandations :

La corrélation de ces faiblesses avec l’infrastructure active d’ERMAC permet aux défenseurs de :

Traquer les opérations actives.
Détecter les infections.
Perturber les campagnes malveillantes.

Il n’y a pas de CVE spécifiques mentionnés dans l’article pour ERMAC 3.0.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

ERMAC V3.0 Banking Trojan Source Code Leak Exposes Full Malware Infrastructure

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast