Troyano bancario ERMAC V3.0
Investigadores de ciberseguridad han analizado ERMAC 3.0, la última versión de un troyano bancario para Android, revelando tanto capacidades avanzadas como vulnerabilidades críticas en la infraestructura de sus operadores. Este malware representa un avance notable en las amenazas a la banca móvil, y se dirige a una amplia gama de plataformas financieras y digitales.
Tabla de contenido
De Cerberus a ERMAC 3.0: una evolución maliciosa
Documentado por primera vez en septiembre de 2021, ERMAC tiene sus raíces en las infames familias Cerberus y BlackRock. El malware se atribuye a un actor de amenazas conocido como DukeEugene y ha evolucionado de forma constante desde sus primeros ataques de superposición hasta una sofisticada operación de malware como servicio (MaaS).
ERMAC 3.0 ahora amenaza a más de 700 aplicaciones, que abarcan servicios bancarios, de compras y de criptomonedas. Otras cepas de malware, como Hook (ERMAC 2.0), Pegasus y Loot, comparten linaje con ERMAC, tomando prestados y modificando componentes del código transmitidos a través de versiones sucesivas.
Diseccionando el kit de herramientas de malware
Los investigadores descubrieron el código fuente completo de ERMAC 3.0, revelando su estructura modular. El kit de herramientas consta de varios componentes interconectados, cada uno de los cuales desempeña un papel crucial en la ejecución de campañas de ciberdelincuencia a gran escala:
Servidor C2 backend : permite a los atacantes administrar dispositivos infectados, recuperar registros de SMS, credenciales robadas y datos del dispositivo.
Panel frontal : proporciona una interfaz de operador para emitir comandos, implementar superposiciones y ver información comprometida.
Servidor de exfiltración : un servidor con tecnología Golang dedicado al robo de datos y a la gestión de dispositivos comprometidos.
ERMAC Backdoor : un implante de Android basado en Kotlin capaz de controlar de forma remota, recopilar datos y evadir dispositivos ubicados en países de la CEI.
ERMAC Builder : una herramienta de configuración que automatiza la creación de APK maliciosos personalizando los detalles del servidor y los parámetros de la puerta trasera.
Nuevas funciones en ERMAC 3.0
El troyano de tercera generación introduce varias mejoras con respecto a sus predecesores. Entre ellas se incluyen:
- Técnicas de inyección de forma expandida para el robo de credenciales.
- Un panel de comando y control (C2) rediseñado para operaciones optimizadas.
- Una nueva puerta trasera de Android con funciones mejoradas de manipulación de dispositivos.
- Comunicaciones seguras mediante encriptación AES-CBC.
Grietas en la infraestructura criminal
A pesar de sus capacidades mejoradas, ERMAC 3.0 presenta graves fallos operativos. Los investigadores descubrieron vulnerabilidades, como un secreto JWT codificado, un token de administrador estático, credenciales root predeterminadas e incluso un registro sin restricciones en el panel de control del administrador. Estas vulnerabilidades no solo ponen de manifiesto la deficiente seguridad de los operadores, sino que también ofrecen valiosos puntos de entrada para los defensores que buscan monitorear, detectar e interrumpir la actividad del troyano en campañas reales.
Mantenerse seguro contra las amenazas móviles
La exposición del funcionamiento interno de ERMAC 3.0 sirve como recordatorio de la creciente sofisticación de los troyanos bancarios para Android. Si bien los ciberdelincuentes siguen perfeccionando sus herramientas, sus errores aún pueden ser aprovechados por los equipos de seguridad. Para los usuarios habituales, mantenerse alerta sigue siendo la línea de defensa más eficaz. Instalar aplicaciones solo de fuentes confiables, mantener los dispositivos actualizados con los últimos parches de seguridad y evitar enlaces o archivos adjuntos sospechosos son prácticas fundamentales. Al ser cautelosos y proactivos, los usuarios pueden reducir significativamente el riesgo de ser víctimas de amenazas como ERMAC 3.0.
