Хакеры создали идеальный троян, но не смогли защитить его от собственных ошибок

ERMAC Hunt.io Android DukeEugene Cerberus BlackRock троян
Хакеры создали идеальный троян, но не смогли защитить его от собственных ошибок
ERMAC Hunt.io Android DukeEugene Cerberus BlackRock троян

Исходный код ERMAC 3.0 был слит и разобран по косточкам. Что нашли исследователи?

image

Исследователи из Hunt.io опубликовали разбор банковского трояна для Android под названием ERMAC 3.0, выявив не только обновлённые возможности программы, но и серьёзные изъяны в её инфраструктуре. Эта версия развивает функционал предшественников, добавляя новые методы внедрения форм и расширяя спектр атакуемых приложений — теперь в списке более 700 сервисов для онлайн-банкинга, шопинга и операций с криптовалютой.

ERMAC был впервые описан в 2021 году компанией ThreatFabric. Тогда внимание экспертов привлекла способность вредоноса подменять интерфейсы приложений для перехвата данных. За разработкой стоит хакер под ником DukeEugene, а сам троян считается ответвлением семейств Cerberus и BlackRock. Позже на основе его кода появились другие проекты, включая Hook (он же ERMAC 2.0 ), Pegasus и Loot, которые унаследовали части исходного решения.

Нынешний анализ Hunt.io стал возможен благодаря утечке полного исходного кода сервиса «вредонос как услуга». В открытом доступе оказался весь набор компонентов: PHP и Laravel-бэкенд, React-фронтенд, сервер на Go для вывода похищенной информации и панель сборки Android-приложений. Такой комплект позволяет понять, как именно построена экосистема трояна.

Архитектура разделена на несколько частей. Центральный сервер управления даёт злоумышленникам возможность контролировать заражённые устройства и просматривать собранные данные, включая СМС, учётные записи и технические сведения о телефоне.

Веб-панель используется для отдачи команд, настройки оверлеев и управления добытыми данными. Отдельный сервер на Go отвечает за пересылку украденной информации. Само вредоносное приложение написано на Kotlin и получает указания от централизованного C2-сервера, собирая конфиденциальные сведения и выполняя команды.

Примечательно, что заражение намеренно не активируется на устройствах в странах СНГ. Дополнительно присутствует собственный конструктор, позволяющий «клиентам» конфигурировать сборки: задавать название приложения, сервер и другие параметры будущей кампании.

В версии 3.0 появились усовершенствованные методы перехвата форм, новый Android-бэкдор, обновлённая панель управления и защищённые каналы связи с использованием AES-CBC. Однако при этом инфраструктура оказалась крайне уязвимой.

Также в системе были обнаружены жёстко прописанный секрет JWT, статический админ-токен, стандартные учётные данные root и даже возможность регистрации новых учётных записей в админке без ограничений. Все эти недочёты дают возможность отслеживать и блокировать активные кампании, что превращает найденные ошибки в ценный инструмент для защитников.

Таким образом, ERMAC 3.0 иллюстрирует двойственный характер современных вредоносов: с одной стороны, это опасный инструмент с расширенными функциями, с другой — проект с критическими пробелами в реализации, которые могут легко обернуться против его создателей.