ERMAC: attenti al trojan per Android capace di colpire quasi 500 app bancarie e wallet di criptovalute

ERMAC: attenti al trojan per Android capace di colpire quasi 500 app bancarie e wallet di criptovalute

Il malware ruba le credenziali di accesso ai sistemi home banking e ai wallet di criptovalute e prende di mira app di moltissimi istituti bancari in tutto il mondo

di pubblicata il , alle 12:31 nel canale Sicurezza
 

ERMAC, il famigerato trojan bancario per Android, è stato aggiornato alla versione 2.0 ed è ora in grado di prendere di mira molte più applicazioni bancarie, si passa da 378 a 467, per rubare le credenziali di accesso a sistemi di home banking o ai wallet di criptovalute

Le credenziali rubate da ERMAC vengono inviate agli attori di minaccia, che le usano per prendere controllo sui conti bancari e sui wallet e commettere frodi finanziarie. Non si tratta di un team solo dietro ad ERMAC, o meglio, il trojan viene attualmente proposto come servizio ad abbonamento, ad un costo di 5000 dollari al mese, superiore di 2000 dollari rispetto al prezzo della prima versione.

I ricercatori ESET hanno già individuato la prima campagna che fa uso di ERMAC 2.0: si tratta di una applicazione fasulla chiamata Bolt Food e destinata al mercato polacco. Questa app è stata distribuita tramite un sito web fasullo che aveva lo scopo di impersonare un legittimo servizio di food delivery europeo.

Per veicolare utenti sul sito web fasullo vengono sfruttate le usuali tecniche di phishing, malvertising, post sui social e via discorrendo. Una volta che l'app viene scaricata sul dispositivo, l'utente riceve una richiesta di autorizzazione per il controllo completo. Se viene concesso l'accesso al servizio di accessibilità, l'applicazione può erogare gli overlay che inducono la vittima ad inserire le proprie credenziali in moduli che appaiono come legittimi, ma sono in realtà solamente delle copie dell'interfaccia dell'applicazione bancaria.

Se le autorizzazioni vengono concesse dall'utente, il malware può accedere agli SMS e ai contatti, può creare finestre di avviso, registrare audio e accedere in lettura e scrittura alla memoria. ERMAC come prima cosa determina quali applicazioni sono installate sul dispositivo compromesso, inviando le informazioni al server command&control che risponde con i moduli di injection per le applicazioni segnalate dal malware.

A questo punto quando l'utente avvia l'applicazione reale, il malware inietta il codice opportuno e una schermata di phishing viene caricata come overlay sopra l'interfaccia utente effettiva. In questo modo l'utente crede di inserire le proprie credenziali nel modulo dell'applicazione legittima, quando in realtà le sta inserendo in un modulo dall'aspetto identico che le invierà al server command&control mettendole a disposizione degli aggressori. 

ERMAC prende di mira app di istituti bancari di tutto il mondo, quindi può essere utilizzata in moltissimi Paesi. Per prevenire le infezioni di trojan per Android si consiglia come sempre di evitare di scaricare APK da ambienti esterni al Play Store, e in particolar modo da siti web la cui legittimità non sia stata verificata. E' comunque bene osservare che nelle versioni 11 e 12 di Android, nelle quali Google ha aggiunto alcune restrizioni per prevenire gli abusi del servizio di accessibilità, il ERMAC potrebbe incontrare qualche difficoltà in più nello svolgere le sue funzioni.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
maxnaldo27 Maggio 2022, 13:08 #1
"Le credenziali rubate da ERMAC vengono inviate agli attori di minaccia"

google translate ?
Unax27 Maggio 2022, 13:28 #2
Originariamente inviato da: maxnaldo
"Le credenziali rubate da ERMAC vengono inviate agli attori di minaccia"

google translate ?


traducendo dall'italiano all'inglese

The credentials stolen by ERMAC are sent to the threat actors

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^