Los operadores detrás del malware móvil BlackRock han reaparecido con un nuevo troyano bancario para Android llamado ERMAC, que apunta a Polonia y tiene sus raíces en el infame malware Cerberus, según las últimas investigaciones.
«El nuevo troyano ya tiene campañas de distribución activas y apunta a 378 aplicaciones bancarias y de billetera superpuestas», dijo el CEO de ThreatFabric, Cengiz Han Sahin, en un comunicado por correo electrónico. Se espera que las primeras campañas que involucran a ERMAC comiencen a fines de agosto bajo la apariencia de Google Chrome.
Desde entonces, los ataques se han extendido a una variedad de aplicaciones como banca, reproductores multimedia, servicios de entrega, aplicaciones gubernamentales y soluciones antivirus como McAfee.
Los hallazgos de la empresa holandesa de ciberseguridad, basados casi en su totalidad en el notorio troyano bancario Cerberus, provienen de publicaciones en foros publicadas por un actor llamado DukeEugene el mes pasado, el 17 de agosto, instando a los clientes potenciales a «alquilar una nueva red de bots para Android con una gran funcionalidad». un estrecho círculo de personas. “Por 3.000 dólares al mes.
DukeEugene también es conocido como el actor detrás de la campaña BlackRock, que salió a la luz en julio de 2020. El ladrón de información y el registrador de teclas provienen de otra tribu bancaria llamada Xerxes, que es a su vez la tribu del troyano bancario Android LokiBot, que incluye una serie de funciones de robo de datos. – con el código fuente del malware publicado por su autor alrededor de mayo de 2019.
En septiembre de 2020, Cerberus lanzó su propio código fuente como un troyano de acceso remoto gratuito (RAT) en foros clandestinos de piratería luego de una subasta fallida que exigió $ 100,000 para los desarrolladores.
ThreatFabric también hizo hincapié en el cese de muestras nuevas de BlackRock desde la creación de ERMAC, lo que aumentó la posibilidad de que «DukeEugene haya pasado de usar BlackRock en sus operaciones a ERMAC». Además de compartir similitudes con Cerberus, la cepa recién descubierta se destaca por el uso de técnicas de ofuscación y el esquema de encriptación Blowfish para comunicarse con el servidor de comando y control.
ERMAC, al igual que su predecesor y otros programas maliciosos bancarios, está diseñado para robar información de contacto, mensajes de texto, abrir aplicaciones arbitrarias y lanzar ataques emergentes contra una gran cantidad de aplicaciones financieras para obtener credenciales de inicio de sesión. Además, ha desarrollado nuevas funciones que permiten que el software malicioso borre la memoria caché de una aplicación específica y robe las cuentas almacenadas en el dispositivo.
«La historia de ERMAC muestra una vez más cómo las filtraciones del código fuente del malware no solo pueden conducir a una evaporación lenta de la familia de malware, sino también traer nuevas amenazas/actores al área de amenazas», dijeron los investigadores. «Aunque carece de algunas funciones potentes como RAT, sigue siendo una amenaza para los usuarios de banca móvil y las instituciones financieras de todo el mundo».
