Pesquisadores conseguem código-fonte do trojan ERMAC 3.0 e expõe infraestrutura de grupo Hacker

Uma falha colossal na segurança de um grupo hacker expôs a infraestrutura completa por trás de um dos mais potentes trojans bancários para Android, o ERMAC 3.0. Pesquisadores da empresa Hunt.io conseguiram obter o código-fonte integral da ameaça, revelando não apenas seu funcionamento interno, mas também sérias vulnerabilidades na operação dos próprios criminosos.

"A recém-descoberta versão 3.0 revela uma evolução significativa do malware, expandindo suas capacidades de injeção de formulários e roubo de dados para mirar mais de 700 aplicativos bancários, de compras e de criptomoedas", afirmou a Hunt.io em seu relatório. A descoberta representa um duro golpe para o grupo por trás do malware e, ao mesmo tempo, uma oportunidade única para a comunidade de segurança.

O ERMAC não é um nome novo no cenário da cibersegurança. Documentado pela primeira vez pela ThreatFabric em setembro de 2021, o malware rapidamente ganhou notoriedade por sua capacidade de realizar ataques de sobreposição (overlay attacks) contra centenas de aplicativos financeiros em escala internacional. Atribuído a um hacker conhecido como "DukeEugene", o ERMAC é considerado uma evolução direta de outros trojans infames, como o Cerberus e o BlackRock.

Sua linhagem é compartilhada com outras famílias de malware proeminentes, incluindo o Hook (ERMAC 2.0), Pegasus e Loot. Componentes do código-fonte original do ERMAC foram passados e modificados através de gerações, criando um ecossistema de ameaças interligadas. A versão 3.0, no entanto, representa um salto, incorporando novos métodos de injeção de formulários, um painel de comando e controle (C2) totalmente reformulado e comunicações criptografadas com o padrão AES-CBC para dificultar sua detecção.

O vazamento, originado de um diretório aberto em um servidor dos próprios hackers, foi surpreendentemente completo. A Hunt.io obteve acesso a todo o ecossistema do Malware-as-a-Service (MaaS), um modelo de negócio no qual os desenvolvedores do trojan o alugam para outros criminosos.

Os componentes expostos incluem:

• Servidor de Comando e Controle (Backend): O cérebro da operação, permitindo aos hackers gerenciar os dispositivos infectados, visualizar dados roubados como registros de SMS, contas comprometidas e informações do aparelho.

• Painel de Controle (Frontend): A interface que permite aos operadores interagir com os dispositivos, emitir comandos, gerenciar os ataques de sobreposição e acessar os dados roubados de forma organizada.

• Servidor de Exfiltração: Um servidor dedicado, escrito em Go, utilizado para extrair os dados roubados das vítimas e gerenciar as informações dos dispositivos comprometidos.

• Backdoor ERMAC: O implante para Android, escrito em Kotlin, que efetivamente controla o dispositivo da vítima e coleta dados sensíveis. Curiosamente, o código possui uma trava para não infectar dispositivos localizados nos países da Comunidade de Estados Independentes (CEI).

• Construtor ERMAC (Builder): Uma ferramenta que permite aos "clientes" do MaaS configurar e criar suas próprias versões personalizadas do malware para suas campanhas, definindo o nome do aplicativo falso, o endereço do servidor e outras configurações.

Ironicamente, o vazamento que expôs a sofisticação do ERMAC 3.0 também revelou sua maior fraqueza: a péssima segurança da infraestrutura dos próprios hackers. "O vazamento revelou vulnerabilidades críticas, como um segredo JWT e um token de administrador estático codificados no sistema, credenciais de root padrão e registro de contas abertas no painel de administração", detalhou a empresa.

Essas falhas primárias permitem que especialistas em segurança, e potencialmente outros hackers, acessem e monitorem os painéis de controle dos criminosos. Para a comunidade de defesa, essa é uma mina de ouro. "Ao correlacionar essas falhas com a infraestrutura ativa do ERMAC, fornecemos aos defensores maneiras concretas de rastrear, detectar e interromper as operações em andamento", conclui o relatório da Hunt.io.

Via - THN