ERMAC Androidマルウェアのソースコード流出でバンキング型トロイの木馬のインフラが露呈

ERMAC Androidバンキング型トロイの木馬のバージョン3のソースコードがオンライン上に流出し、マルウェア・アズ・ア・サービス・プラットフォームの内部とオペレーターのインフラが暴露された。

このコードベースは、2024年3月にHunt.ioの研究者が公開リソースをスキャンしていた際に、オープンディレクトリで発見された。

研究者たちは、Ermac 3.0.zipという名前のアーカイブを発見しました。このアーカイブには、バックエンド、フロントエンド（パネル）、流出サーバー、展開設定、トロイの木馬のビルダーと難読化などのマルウェアのコードが含まれていました。

研究者らはコードを分析し、以前のバージョンと比較してターゲティング機能が大幅に拡張され、700以上のバンキング、ショッピング、暗号通貨アプリが含まれていることを発見した。

ERMACは、「BlackRock」として知られる脅威行為者によって運営されるCerberusバンキング型トロイの木馬の進化版として、金融サービス部門向けにオンライン決済詐欺ソリューションとインテリジェンスを提供するThreatFabricによって2021年9月に初めて文書化された。

ERMAC v2.0は2022年5月にESETによって発見され、月額5,000ドルでサイバー犯罪者にレンタルされ、前バージョンの378から467のアプリを標的としていました。

2023年1月、ThreatFabricは、BlackRockがERMACを進化させたと思われる新しいAndroidマルウェアツール「Hook」を宣伝していることを確認しました。

ERMAC v3.0の機能

Hunt.ioは、ERMACのPHPコマンド・アンド・コントロール（C2）バックエンド、Reactフロントエンド・パネル、Goベースの流出サーバー、Kotlinバックドア、およびカスタム・トロイの木馬化APKを生成するためのビルダー・パネルを発見し、分析しました。

研究者によると、ERMAC v3.0は現在、700以上のアプリで機密性の高いユーザー情報を標的にしているという。

さらに、最新バージョンは、以前に文書化されたフォームインジェクション技術を拡張し、暗号化通信にAES-CBCを使用し、オーバーホールされたオペレータパネルを備え、データ盗難とデバイス制御を強化している。

具体的には、Hunt.ioは最新のERMACリリースで以下の機能を文書化している：

• SMS、連絡先、登録アカウントの盗難
• Gmailの件名とメッセージの抽出
• リスト」と「ダウンロード」コマンドによるファイルアクセス
• 通信悪用のためのSMS送信と通話転送
• フロントカメラによる写真撮影
• 完全なアプリ管理（起動、アンインストール、キャッシュクリア）
• 偽のプッシュ通知を表示し、騙す
• 回避のためのリモートアンインストール（killme）

インフラの公開

Hunt.ioのアナリストは、SQLクエリを使用して、脅威行為者が現在使用している、ライブで公開されているインフラを特定し、C2エンドポイント、パネル、流出サーバー、ビルダー配備を特定しました。

マルウェアのソースコードが公開されたこと以外にも、ERMACのオペレータは、ハードコードされたJWTトークン、デフォルトのルート認証情報、管理パネル上の登録保護機能の欠如など、いくつかの主要なオペセック上の失敗があり、誰でもERMACパネルにアクセス、操作、または混乱させることができました。

最後に、パネル名、ヘッダー、パッケージ名、およびその他のさまざまな操作上のフィンガープリントは、帰属についてほとんど疑いを残さず、インフラの発見とマッピングを非常に簡単にしました。

ERMAC V3.0のソースコード流出は、マルウェアの運用を弱体化させます。まず、法執行機関から情報を保護したり、検出リスクの低いキャンペーンを実行したりするMaaSに対する顧客の信頼を損ないます。

脅威検知ソリューションも、ERMACを検知する能力が向上する可能性が高い。しかし、ソースコードが他の脅威行為者の手に渡れば、将来、検出がより困難なERMACの修正された亜種が観測される可能性がある。

.ia_ad { background-color：#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border：1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }：0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding：display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color：#line-height: 1.4; font-family：margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color：#border：1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding：width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding：15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}

パイカス・ブルー・レポート2025年版はこちらパスワード・クラッキングが2倍に増加

46％の環境でパスワードがクラックされ、昨年の25％からほぼ倍増。

今すぐPicus Blue Report 2025を入手して、予防、検出、データ流出の傾向に関するその他の調査結果を包括的にご覧ください。

ブルーレポート2025を入手する