ERMAC Android malware source code leak exposes banking trojan infrastructure
Mis à jour :
Fuite du Code Source d’ERMAC v3 : Mise à Nu d’une Infrastructure Bancaire Malveillante
La fuite en ligne du code source de la version 3 du cheval de Troie bancaire Android ERMAC révèle les détails internes de cette plateforme de maliciel en tant que service (MaaS) et de l’infrastructure de ses opérateurs. Découvert en mars 2024, l’archive complète comprend le code du malware, le backend (serveur de commande et de contrôle), le frontend (panneau d’opérateur), le serveur d’exfiltration des données, les configurations de déploiement, ainsi que les outils de création et d’obfuscation du cheval de Troie.
ERMAC, apparu initialement en septembre 2021, est une évolution du cheval de Troie bancaire Cerberus. Il avait été documenté en mai 2022 par ESET, proposé à la location pour 5 000 $ par mois, ciblant alors 467 applications. Une nouvelle variante, Hook, considérée comme une évolution d’ERMAC, avait été observée en janvier 2023.
La version 3.0 d’ERMAC étend considérablement ses capacités, ciblant désormais plus de 700 applications bancaires, commerciales et de cryptomonnaies. Ses fonctionnalités incluent :
- Points Clés et Capacités :
- Vol de SMS, contacts et comptes enregistrés.
- Extraction des sujets et messages Gmail.
- Accès aux fichiers via des commandes de liste et de téléchargement.
- Envoi de SMS et redirection d’appels pour détournement de communication.
- Capture de photos via la caméra frontale.
- Gestion complète des applications (lancement, désinstallation, vidage du cache).
- Affichage de fausses notifications push pour tromper l’utilisateur.
- Désinstallation à distance (commande “killme”) pour échapper à la détection.
- Utilisation de techniques d’injection de formulaire améliorées.
- Communication chiffrée via AES-CBC.
- Un panneau d’opérateur refondu pour une meilleure gestion des campagnes.
- Vulnérabilités et Défaillances Opérationnelles :
- Les opérateurs d’ERMAC ont commis plusieurs erreurs majeures en matière de sécurité opérationnelle (OpSec), notamment :
- Jetons JWT codés en dur.
- Identifiants root par défaut.
- Absence de protection d’enregistrement sur le panneau d’administration, permettant un accès, une manipulation ou une perturbation non autorisés.
- Ces défaillances ont facilité l’identification et la cartographie de l’infrastructure, y compris les points de commande et de contrôle (C2), les panneaux, les serveurs d’exfiltration et les déploiements de créateurs de malware.
- Les opérateurs d’ERMAC ont commis plusieurs erreurs majeures en matière de sécurité opérationnelle (OpSec), notamment :
Cette fuite de code source affaiblit les opérations d’ERMAC en érodant la confiance des clients de ce service MaaS quant à la protection de leurs informations et au risque de détection réduit. Bien que cela puisse améliorer les solutions de détection, il est possible que des variantes modifiées et plus difficiles à détecter d’ERMAC apparaissent si le code source tombe entre les mains d’autres acteurs malveillants.
Aucune vulnérabilité spécifique avec un identifiant CVE n’a été mentionnée dans l’article.