Kötü şöhretli bir Android bankacılık truva atı büyük bir güncelleme aldı ve giderek daha tehlikeli hale geldi – ama aynı zamanda daha pahalı.
Cyble ve ESET’ten siber güvenlik araştırmacıları, ERMAC’ın 2.0 sürümünün karanlık web’de aylık 5.000 ABD Doları abonelik ücretiyle (önceki sürüm için ayda 3.000 ABD Doları iken) reklamının yapıldığını keşfettiler.
Abonelik maliyetindeki artış sadece enflasyondan kaynaklanmıyor, aynı zamanda çok daha fazla özellikle gelen 2.0 sürümünden kaynaklanıyor. Artık, önceki 378’den 467 uygulamadan oturum açma bilgilerini ve diğer hassas verileri çalabilir.
Bir kurban ERMAC’ı uç noktasına yüklediğinde, kötü amaçlı yazılım Erişilebilirlik Hizmetine cihaz üzerinde tam kontrol sağlayan izinler ister. Araştırmacılar, truva atının kendisine SMS erişimi, iletişim erişimi, sistem uyarı penceresi oluşturma, ses kaydı ve tam depolama okuma ve yazma erişimi dahil 43 izin verdiğini buldu.
Bundan sonra, farklı uygulamaları taklit edebilir ve hassas verileri çalabilir. (yeni sekmede açılır). Gerekli izinleri aldıktan sonra, yüklü uygulamalar için cihazı tarar ve verileri C2 sunucusuna gönderir. Sunucu daha sonra, truva atının şifresini çözdüğü ve “setting.xml” dosya adı altındaki Paylaşılan Tercih dosyasına yerleştirdiği şifreli HTML biçiminde enjeksiyon modülleriyle yanıt verir. Kurban bir uygulamayı başlatmaya çalıştığında, truva atı bunun yerine gerçek uygulamanın arayüzü üzerinden bir kimlik avı sayfası başlatacak ve böylece verileri toplayacaktır.
Araştırmacılar, ERMAC 2.0’ı vahşi doğada da tespit ettiler. Bilinmeyen bir tehdit aktörü kimliğine bürünmeye çalıştı (yeni sekmede açılır) Bold Food uygulaması (Avrupa’da bir yemek dağıtım hizmeti) ve Polonya’daki tüketicilere saldırı.
Büyük olasılıkla sosyal medya ve kimlik avı e-postaları aracılığıyla reklamı yapılan sahte bir Bolt Food web sitesi açıldı (basım zamanında feshedildi).
Sahte uygulamalar, siber suçluların cephaneliğinde yaygın bir silahtır; bu nedenle, uygulamaları yalnızca bilinen, meşru bir kaynaktan indirmek önemlidir.
Via: BleepingBilgisayar (yeni sekmede açılır)