Новости ERMAC 2.0: совершенствование захвата аккаунта

ERMAC, банковский троян для Android, позволяет злоумышленникам определять, когда запускаются определенные приложения, а затем перезаписывает изображение на экране, чтобы украсть учетные данные пользователя; подвергая риску миллиарды пользователей.

Безопасность устройств Android значительно улучшилась за последние годы благодаря рыночным и конкурентным силам. Отчасти команды разработчиков безопасности для Android добились этого, сосредоточившись на инструментах, используемых разработчиками вредоносных программ, и снизив их эффективность. В ответ разработчикам вредоносных программ пришлось проявить творческий подход, чтобы выполнить свои гнусные задачи.
Одним из примеров является ERMAC, банковский троян для Android, появившийся в августе 2021 года. Основанный на банковском трояне Cerberus. В частности, ERMAC использует Accessibility Suite, чтобы определить, когда запускаются определенные приложения, а затем перезаписывает изображение на экране, чтобы украсть учетные данные пользователя. Пользователи обычно заражаются ERMAC через поддельные сайты обновлений браузера.

Оверлейные атаки

Широко известная как атака «Оверлей» или «Веб-инъекция», ERMAC нацелена на более 400 банковских, финансовых и мобильных приложений электронной коммерции, включая Amazon, PayPal и Microsoft, для захвата учетных данных. Инъекции — одни из самых старых и опасных атак, направленных на приложения. В этом случае внедряется HTML-код, в результате чего перезаписываются приложения, вводящие пользователей в заблуждение.

inject_examples.png

Рисунок 1: Примеры фишинговых страниц, которые ERMAC накладывает поверх законных приложений.

Пользователи этих приложений думают, что они открыли законное приложение, но получают незаконное содержимое от вредоносного ПО. Когда пользователи вводят свои учетные данные, троян ERMAC перехватывает их. С точки зрения конечного пользователя трудно понять, отличается ли что-то или нет.

Пользователи должны явно предоставить ERMAC доступ к Accessibility Suite для выполнения атаки с наложением. ERMAC обычно пытается сделать это, запрашивая у пользователей разрешение на доступ через всплывающее окно. Если доступ будет разрешен пользователем, ERMAC автоматически предоставит нужные ему привилегии.

enable_accessibility.png

Рисунок 2: ERMAC создает окно, предлагающее пользователю предоставить права доступа.

Активировавшись, вредоносная программа выполняет такие действия, как определение запущенных приложений и перерисовка экрана, когда другое приложение находится в фокусе. Далее он собирает и отправляет список всех установленных приложений на командно-контрольный сервер. В ответ сервер отправляет обратно инъекционный контент для других приложений.

Что делает ERMAC таким грозным, так это его способность обходить методы аутентификации, тем самым обходить MFA. Функция ERMAC, известная как Google Authentication Grabber, по существу превращает ERMAC в инструмент захвата аккаунта, поскольку он крадет токены Google Authentication. ERMAC также может украсть токены аутентификации, отправленные через SMS. Таким образом, даже если вы делаете все правильно — надежные пароли и многофакторную аутентификацию, — вы все равно подвергаетесь захвату учетной записи.

ermac_commands.png

Рисунок 3: Скриншот панели управления ERMAC, показывающий команды, доступные оператору.

Легко стать самодовольным и классифицировать любое вредоносное ПО как одноразовое. Но подробный анализ показывает, что очень сложная экосистема электронной преступности поддерживает ERMAC, ее разработчиков и пользователей.

Как сообщают исследователи, вдохновителем группы, продвигающей вредоносное ПО ERMAC, является DukeEugene, он же Duke Eugene или Eugene . Они арендуют вредоносное ПО как услугу (MaaS) на подпольных форумах за 5000 долларов в месяц, упрощают общение с клиентами и предоставляют доступ к панели управления вредоносными программами. У DukeEugene есть история и опыт в этой области, в 2020 году он был автором банковского трояна BlackRock для Android. Этот троянец также использовал модель MaaS.

Онлайн-форумы, служащие рынком для продажи ERMAC и других предложений MaaS, размещаются в «службах пуленепробиваемой публикации (BPH)», которые предоставляют инфраструктуру и услуги хостинга преступникам. Эти провайдеры рекламируют определенные услуги, но часто предоставляют поддержку, выходящую за рамки того, что они рекламируют на подпольных форумах.

ERMAC, вероятно, продолжит улучшать функции. Но важно понимать, что это не просто очередная хитроумная вредоносная программа; это вредоносное ПО, поддерживаемое сложной преступной группой с опытом, долголетием и инфраструктурой.

Таким образом, пользователи Android, использующие банковские, финансовые приложения и приложения для электронной коммерции, должны сохранять бдительность и осознавать эту постоянную угрозу.

source: intel471.com/blog/rmac-2-0-perfecting-the-art-of-account-takeover
 
Сверху Снизу