Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants mobiles Cheval de Troie bancaire ERMAC V3.0

Cheval de Troie bancaire ERMAC V3.0

Par Mezo en Logiciels malveillants mobiles, Cheval de Troie bancaire
Se traduisent par :

Des chercheurs en cybersécurité ont décortiqué ERMAC 3.0, la dernière version d'un cheval de Troie bancaire Android, révélant à la fois des fonctionnalités avancées et des faiblesses critiques dans l'infrastructure de ses opérateurs. Ce malware représente une avancée notable dans les menaces visant les services bancaires mobiles, ciblant un large éventail de plateformes financières et numériques.

De Cerberus à ERMAC 3.0 : une évolution malveillante

Documenté pour la première fois en septembre 2021, ERMAC trouve son origine dans les tristement célèbres familles Cerberus et BlackRock. Ce malware est attribué à un acteur malveillant connu sous le nom de DukeEugene et a progressivement évolué, passant des premières attaques par superposition à une opération sophistiquée de type malware-as-a-service (MaaS).

ERMAC 3.0 menace désormais plus de 700 applications, couvrant les services bancaires, d'achat et de cryptomonnaie. D'autres souches de malwares, telles que Hook (ERMAC 2.0), Pegasus et Loot, partagent la même lignée qu'ERMAC, empruntant et modifiant des composants de code transmis au fil des versions.

Analyse de la boîte à outils des logiciels malveillants

Des chercheurs ont découvert l'intégralité du code source d'ERMAC 3.0, révélant ainsi sa structure modulaire. La boîte à outils comprend plusieurs composants interconnectés, chacun jouant un rôle essentiel dans la gestion de campagnes de cybercriminalité à grande échelle :

Serveur C2 Backend – Permet aux attaquants de gérer les appareils infectés, de récupérer les journaux SMS, les informations d'identification volées et les données des appareils.

Panneau frontal – Fournit une interface opérateur pour émettre des commandes, déployer des superpositions et afficher les informations compromises.

Serveur d'exfiltration – Un serveur propulsé par Golang dédié au vol de données et à la gestion des appareils compromis.

ERMAC Backdoor – Un implant Android basé sur Kotlin capable de contrôler à distance, de collecter des données et d'échapper aux appareils situés dans les pays de la CEI.

ERMAC Builder – Un outil de configuration qui automatise la création d’APK malveillants en personnalisant les détails du serveur et les paramètres de porte dérobée.

Nouvelles fonctionnalités d’ERMAC 3.0

Le Trojan de troisième génération présente plusieurs améliorations par rapport à ses prédécesseurs. Parmi celles-ci :

  • Techniques d'injection de formulaires étendus pour le vol d'informations d'identification.
  • Un panneau de commandement et de contrôle (C2) repensé pour des opérations rationalisées.
  • Une nouvelle porte dérobée Android avec des fonctionnalités de manipulation d'appareils améliorées.
  • Communications sécurisées via cryptage AES-CBC.

Fissures dans l’infrastructure criminelle

Malgré ses capacités améliorées, ERMAC 3.0 souffre de graves erreurs opérationnelles. Les chercheurs ont découvert des failles, notamment un secret JWT codé en dur, un jeton porteur d'administrateur statique, des identifiants root par défaut et même une inscription illimitée sur le panneau de contrôle d'administration. Ces faiblesses mettent en évidence non seulement les lacunes en matière de sécurité des opérateurs, mais offrent également des points d'entrée précieux aux défenseurs cherchant à surveiller, détecter et perturber l'activité du cheval de Troie lors de campagnes réelles.

Rester en sécurité contre les menaces mobiles

La révélation du fonctionnement interne d'ERMAC 3.0 rappelle la sophistication croissante des chevaux de Troie bancaires Android. Si les cybercriminels continuent d'affiner leurs outils, leurs erreurs peuvent encore être exploitées au profit des équipes de sécurité. Pour les utilisateurs quotidiens, la vigilance reste la ligne de défense la plus efficace. Installer uniquement des applications provenant de sources fiables, maintenir les appareils à jour avec les derniers correctifs de sécurité et éviter les liens ou pièces jointes suspects sont autant de pratiques essentielles. En restant prudents et proactifs, les utilisateurs peuvent réduire considérablement le risque d'être victimes de menaces comme ERMAC 3.0.

Tendance

Arnaque par e-mail de demande de validation de compte

Hameçonnage, Courrier indésirable
Les cybercriminels perfectionnent constamment leurs méthodes pour voler des informations sensibles. L'une de ces tactiques est l'arnaque par courriel « Demande de validation de compte ». Ces messages trompeurs ne sont affiliés à aucune entreprise, aucun fournisseur de services ni aucune organisation légitime. Ils visent plutôt à duper les utilisateurs peu méfiants en les incitant à divulguer...

Le plus regardé

Chargement...