ERMAC 3.0 adalah varian terbaru dari keluarga malware trojan perbankan Android yang dirancang untuk mencuri informasi sensitif dari perangkat korban. Malware ini dikenal karena kemampuannya melakukan serangan overlay, yaitu menampilkan lapisan palsu di atas aplikasi perbankan atau keuangan yang sah untuk mengelabui pengguna agar memasukkan kredensial mereka.
Data yang dicuri kemudian dikirimkan ke server kendali (C2) milik penyerang.
ERMAC pertama kali didokumentasikan oleh ThreatFabric pada September 2021. Trojan ini mampu melakukan serangan overlay terhadap ratusan aplikasi perbankan dan cryptocurrency di seluruh dunia. Malware ini dikaitkan dengan aktor ancaman bernama DukeEugene, dan dinilai sebagai evolusi dari Cerberus dan BlackRock.
Keluarga malware lain yang sering diamati—termasuk Hook (ERMAC 2.0), Pegasus, dan Loot—memiliki silsilah yang sama: nenek moyang berupa ERMAC dari mana komponen kode sumber telah diturunkan dan dimodifikasi dari generasi ke generasi.
Infrastruktur ERMAC 3.0 yang Bocor
Hunt.io berhasil mendapatkan kode sumber lengkap yang terkait dengan penawaran malware-as-a-service (MaaS) dari direktori terbuka di 141.164.62[.]236:443. Kode sumber tersebut mencakup backend PHP dan Laravel, frontend berbasis React, server eksfiltrasi Golang, dan panel builder Android. Ini dia fungsi dari setiap komponennya:
- Server C2 Backend
- Memberikan kemampuan kepada operator untuk mengelola perangkat korban dan mengakses data yang disusupi, seperti log SMS, akun yang dicuri, dan data perangkat.
- Panel Frontend
- Memungkinkan operator berinteraksi dengan perangkat yang terhubung dengan mengeluarkan perintah, mengelola overlay, dan mengakses data yang dicuri.
- Server Eksfiltrasi
- Server Golang yang digunakan untuk mengeksfiltrasi data yang dicuri dan mengelola informasi terkait perangkat yang disusupi.
- Backdoor ERMAC
- Implant Android yang ditulis dalam Kotlin yang menawarkan kemampuan untuk mengontrol perangkat yang disusupi dan mengumpulkan data sensitif berdasarkan perintah masuk dari server C2. Malware ini memastikan infeksi tidak menyentuh perangkat yang berlokasi di negara-negara Persemakmuran Negara-negara Merdeka (CIS).
- Builder ERMAC
- Alat untuk membantu pelanggan mengonfigurasi dan membuat build untuk kampanye malware mereka dengan menyediakan nama aplikasi, URL server, dan pengaturan lain untuk backdoor Android.
Selain set target aplikasi yang diperluas, ERMAC 3.0 menambahkan metode injeksi formulir baru, panel command-and-control (C2) yang dirombak, backdoor Android baru, dan komunikasi terenkripsi AES-CBC.
“Kebocoran tersebut mengungkapkan kelemahan kritis, seperti rahasia JWT yang hardcoded dan token bearer admin statis, kredensial root default, dan pendaftaran akun terbuka di panel admin,” kata perusahaan tersebut. “Dengan mengorelasikan kelemahan-kelemahan ini dengan infrastruktur ERMAC yang aktif, kami memberikan cara konkret kepada para pembela untuk melacak, mendeteksi, dan mengganggu operasi aktif.”
sumber: thehackernews.com