Ερευνητές της ESET ανακάλυψαν μια νέα έκδοση του Banking Trojan που αποκαλείται ERMAC και το οποίο έχει βάλει σαν στόχο 467 Android apps για την υποκλοπή δεδομένων τραπεζικών στοιχείων. Η Cyble Research Labs ανακάλυψε μάλιστα, ότι μπορεί να ενοικιαστεί έναντι 5.000 δολαρίων από διαδικτυακούς εγκληματίες.
Αξίζει να αναφερθεί ότι το ERMAC 1.0, το οποίο είχε σαν στόχο 378 apps νοικιάζονταν έναντι 3.000 δολαρίων το μήνα, επομένως το νέο υψηλό ποσό αντανακλά τις προοπτικές του εν λόγω malware. Ο διαμοιρασμός του, μέσω fake ιστοσελίδων. Για παράδειγμα, μια fake έκδοση του Bolt website, της δημοφιλούς υπηρεσίας διανομής φαγητού στην Ευρώπη. Επιπλέον, διαμοιράζεται και μέσω επιβλαβών ειδοποιήσεων για αναβαθμίσεις στον browser.
- Μόλις ένας χρήστης πέσει θύμα και κατεβάσει μια fake εφαρμογή, αυτή ζητάει να της δώσει 43 δικαιώματα, όπως να της επιτρέπει να διαβάζει από εξωτερικό αποθηκευτικό χώρο και να διαβάζει μηνύματα κειμένου, ενώ ζητάει επίσης από τον χρήστη να ενεργοποιήσει την Υπηρεσία Προσβασιμότητας.
Όταν αυτό γίνει αποδεκτό, αρχίζει να κάνει κατάχρηση των υπηρεσιών ενεργοποιώντας τη λειτουργία επικάλυψης του Android.
Στη συνέχεια, το κακόβουλο λογισμικό στέλνει μια λίστα με τις εφαρμογές που είναι εγκατεστημένες στη συσκευή Android του θύματος στον απομακρυσμένο κακόβουλο server και κατόπιν επικαλύπτει διακριτικά νόμιμες εφαρμογές και αποκτά πρόσβαση σε ευαίσθητα δεδομένα και επικίνδυνες εξουσιοδοτήσεις.
A new #Android banker ERMAC 2.0 impersonates #Bolt Food and targets 🇵🇱 Polish users.
Available for rent on underground forums for $5K/month since March 2022, ERMAC 2.0 already has an active campaign. #ESETresearch @LukasStefanko 1/3 pic.twitter.com/hGeD4ZSwve— ESET research (@ESETresearch) May 18, 2022