Trojan perbankan Android ERMAC telah merilis versi 2.0, meningkatkan jumlah aplikasi yang ditargetkan dari 378 menjadi 467, mencakup lebih banyak aplikasi untuk mencuri kredensial akun dan dompet kripto.
Tujuan dari trojan adalah untuk mengirim kredensial login yang dicuri ke pelaku ancaman, yang kemudian menggunakannya untuk mengendalikan akun perbankan dan cryptocurrency orang lain dan melakukan penipuan keuangan atau bentuk lain.
ERMAC saat ini dijual kepada anggota situs darknet dengan tarif berlangganan $5.000 per bulan, yaitu $2k di atas label harga versi pertama, yang mencerminkan peningkatan fitur dan popularitasnya.
Kampanye malware pertama yang menggunakan malware ERMAC 2.0 baru adalah aplikasi Bolt Food palsu yang menargetkan pasar Polandia.
Menurut peneliti ESET, para pelaku ancaman mendistribusikan aplikasi Android melalui situs web “bolt-food[.]site”, meniru layanan pengiriman makanan Eropa yang sah. Situs palsu ini masih aktif pada saat penulisan ini.
Pengguna kemungkinan berakhir di situs palsu melalui email phishing, posting media sosial berbahaya, smishing, malvertising, dll. Jika mereka mengunduh aplikasi, mereka akan mendapatkan permintaan izin yang menuntut kontrol penuh atas perangkat mereka.
(ESET)
Pemberian akses ke Layanan Aksesibilitas diperlukan untuk melayani overlay aplikasi, menipu korban untuk memasukkan kredensial mereka pada formulir yang terlihat sah tetapi hanya tiruan dari antarmuka aplikasi yang sebenarnya.
Cyble telah mengambil sampel malware untuk analisis teknis yang lebih dalam dan mengonfirmasi bahwa ia memberikan dirinya sendiri 43 izin saat penginstalan (melalui Aksesibilitas), termasuk akses SMS, akses kontak, pembuatan jendela peringatan sistem, perekaman audio, dan akses baca dan tulis penyimpanan penuh.
ERMAC pertama-tama menentukan aplikasi apa yang diinstal pada perangkat host dan kemudian mengirimkan informasi ke server C2.
Respons berisi modul injeksi yang cocok dengan daftar aplikasi dalam bentuk HTML terenkripsi, yang didekripsi oleh malware dan disimpan ke dalam file Preferensi Bersama sebagai “setting.xml.”
Ketika korban mencoba untuk meluncurkan aplikasi yang sebenarnya, tindakan injeksi terjadi, dan halaman phishing dimuat di atas GUI yang sebenarnya. Kredensial yang dipanen dikirim ke C2 yang sama yang memberikan suntikan.
Analis Cyble telah menemukan banyak kesamaan dengan malware “Cerberus”, sehingga tampaknya versi kedua dari trojan kuat didasarkan pada malware tersebut.
Daftar ekstensif aplikasi yang didukung menjadikannya malware yang kuat, tetapi perlu dicatat bahwa itu akan tersandung pada masalah di Android versi 11 dan 12, berkat batasan tambahan yang ditambahkan Google untuk mencegah penyalahgunaan Layanan Aksesibilitas.
Untuk mencegah infeksi dari trojan Android, hindari mengunduh APK dari luar Play Store, terutama dari situs web yang belum Anda konfirmasikan sebagai sah.
Sumber: Bleeping Computer
