ERMAC: attenti al trojan per Android capace di colpire quasi 500 app bancarie e wallet di criptovalute

ERMAC, il famigerato trojan bancario per Android, è stato aggiornato alla versione 2.0 ed è ora in grado di prendere di mira molte più applicazioni bancarie, si passa da 378 a 467, per rubare le credenziali di accesso a sistemi di home banking o ai wallet di criptovalute. 

Le credenziali rubate da ERMAC vengono inviate agli attori di minaccia, che le usano per prendere controllo sui conti bancari e sui wallet e commettere frodi finanziarie. Non si tratta di un team solo dietro ad ERMAC, o meglio, il trojan viene attualmente proposto come servizio ad abbonamento, ad un costo di 5000 dollari al mese, superiore di 2000 dollari rispetto al prezzo della prima versione.

I ricercatori ESET hanno già individuato la prima campagna che fa uso di ERMAC 2.0: si tratta di una applicazione fasulla chiamata Bolt Food e destinata al mercato polacco. Questa app è stata distribuita tramite un sito web fasullo che aveva lo scopo di impersonare un legittimo servizio di food delivery europeo.

Per veicolare utenti sul sito web fasullo vengono sfruttate le usuali tecniche di phishing, malvertising, post sui social e via discorrendo. Una volta che l'app viene scaricata sul dispositivo, l'utente riceve una richiesta di autorizzazione per il controllo completo. Se viene concesso l'accesso al servizio di accessibilità, l'applicazione può erogare gli overlay che inducono la vittima ad inserire le proprie credenziali in moduli che appaiono come legittimi, ma sono in realtà solamente delle copie dell'interfaccia dell'applicazione bancaria.

Se le autorizzazioni vengono concesse dall'utente, il malware può accedere agli SMS e ai contatti, può creare finestre di avviso, registrare audio e accedere in lettura e scrittura alla memoria. ERMAC come prima cosa determina quali applicazioni sono installate sul dispositivo compromesso, inviando le informazioni al server command&control che risponde con i moduli di injection per le applicazioni segnalate dal malware.

A questo punto quando l'utente avvia l'applicazione reale, il malware inietta il codice opportuno e una schermata di phishing viene caricata come overlay sopra l'interfaccia utente effettiva. In questo modo l'utente crede di inserire le proprie credenziali nel modulo dell'applicazione legittima, quando in realtà le sta inserendo in un modulo dall'aspetto identico che le invierà al server command&control mettendole a disposizione degli aggressori. 

ERMAC prende di mira app di istituti bancari di tutto il mondo, quindi può essere utilizzata in moltissimi Paesi. Per prevenire le infezioni di trojan per Android si consiglia come sempre di evitare di scaricare APK da ambienti esterni al Play Store, e in particolar modo da siti web la cui legittimità non sia stata verificata. E' comunque bene osservare che nelle versioni 11 e 12 di Android, nelle quali Google ha aggiunto alcune restrizioni per prevenire gli abusi del servizio di accessibilità, il ERMAC potrebbe incontrare qualche difficoltà in più nello svolgere le sue funzioni.