Печално известен банков троянец за Android получи голяма актуализация, ставайки все по-опасен, но и по-скъп.

Изследователи по киберсигурност от Cyble и ESET наскоро откриха, че версия 2.0 на ERMAC се рекламира в тъмната мрежа за месечен абонамент от 5000 долара (в сравнение с 3000 долара на месец за по-ранната версия).

Скокът в цената на абонамента не се дължи само на инфлацията - това се дължи и на версия 2.0, която идва с много повече функции. Вече е в състояние да краде потребителски имена, пароли и други чувствителни данни от 467 приложения спрямо предишните 378.

Когато жертвата инсталира ERMAC на своята система, злонамереният софтуер иска разрешения до услугата за достъпност, което му дава пълен контрол над устройството. Изследователите са открили, че троянският кон си дава 43 разрешения, включително достъп до SMS, достъп до контакти, създаване на прозорец за системни предупреждения, аудиозапис и пълен достъп до паметта за четене и запис.

След това той може да имитира различни приложения и да краде чувствителни данни. След като получи необходимите разрешения, той сканира устройството за инсталирани приложения и изпраща данните до своя C2 сървър. След това сървърът отговаря с модули за инжектиране в криптирана HTML форма, която троянският кон декриптира и поставя във файла Shared Preference под име на файла setting.xml. Когато жертвата се опита да стартира приложение, троянският кон ще стартира фишинг страница над интерфейса на действителното приложение, като по този начин събира данните.

Изследователите вече са забелязали ERMAC 2.0 и в интернет. Неизвестни играчи вече се опитаха да се скрият зад приложението Bold Food (услуга за доставка на храна в Европа) и да атакуват потребителите в Полша.

За целта беше създаден фалшив уебсайт на Bolt Food (вече несъществуващ по време на писане), който най-вероятно е бил рекламиран чрез социални медии и фишинг имейли.

Фалшивите приложения са често срещано оръжие в арсенала на киберпрестъпниците, поради което е важно да изтегляте приложения само от известен, легитимен източник.

Снимка: Pikrepo

Виж още: Внимавайте, ако Илон Мъск ви покани да инвестирате в Twitter