Credit image: Freepix
Kode sumber untuk versi 3 dari trojan perbankan Android, ERMAC, telah bocor secara online, membuka kerentanan pada platform malware-as-a-service (MaaS) dan infrastruktur operasionalnya.
Kode ini ditemukan oleh peneliti keamanan dalam direktori terbuka saat mereka memindai sumber daya yang terekspos pada Maret 2024.
Peneliti menemukan arsip bernama Ermac 3.0.zip yang berisi kode lengkap malware, termasuk backend, frontend (panel), server eksfiltrasi, konfigurasi penyebaran, serta builder dan obfuscator trojan.
|
Baca juga: ClearFake Infeksi 9.300 Situs Web |
Evolusi ERMAC dan Kemampuan Versi 3.0
ERMAC pertama kali didokumentasikan pada September 2021 sebagai evolusi dari trojan perbankan Cerberus yang dioperasikan oleh aktor ancaman bernama ‘BlackRock’.
Pada Mei 2022, ESET menemukan ERMAC v2.0 yang disewakan kepada penjahat siber dengan biaya bulanan $5.000 dan menargetkan 467 aplikasi.
Setelah menganalisis kode yang bocor, peneliti menemukan bahwa ERMAC v3.0 telah memperluas kemampuan penargetannya secara signifikan, kini mampu mencuri informasi sensitif dari lebih dari 700 aplikasi perbankan, belanja, dan mata uang kripto.
Selain itu, versi terbaru ini juga:
- Menggunakan teknik form-injection yang ditingkatkan.
- Menggunakan AES-CBC untuk komunikasi terenkripsi.
- Memiliki panel operator yang diperbarui.
- Meningkatkan kemampuan pencurian data dan kontrol perangkat.
Kemampuan spesifik ERMAC v3.0 yang didokumentasikan sebagai berikut:
- Pencurian SMS, kontak, dan akun yang terdaftar.
- Ekstraksi subjek dan pesan Gmail.
- Akses file melalui perintah ‘list’ dan ‘download’.
- Pengiriman SMS dan pengalihan panggilan untuk penyalahgunaan komunikasi.
- Pengambilan foto melalui kamera depan.
- Manajemen aplikasi penuh (meluncurkan, menghapus instalasi, membersihkan cache).
- Menampilkan notifikasi palsu untuk penipuan.
- Menghapus instalasi dari jarak jauh (killme) untuk menghindari deteksi.
|
Baca juga: Hati-hati Ada Adware Pencuri Kredensial |
Terbongkarnya Infrastruktur dan Dampak Kebocoran
Analis berhasil mengidentifikasi infrastruktur langsung yang digunakan oleh para pelaku ancaman, termasuk endpoint C2, panel, server eksfiltrasi, dan penyebaran builder.
Kebocoran kode sumber ini juga mengungkap kegagalan operasional besar lainnya dari operator ERMAC, seperti penggunaan token JWT yang di-hardcode, kredensial root default.
Dan tidak adanya perlindungan pendaftaran pada panel admin. Hal ini memungkinkan siapa pun untuk mengakses, memanipulasi, atau mengganggu panel ERMAC.
Dengan bocornya kode sumber ERMAC V3.0, operasi malware ini menjadi lebih lemah.
Pertama, hal ini mengikis kepercayaan pelanggan MaaS terhadap kemampuannya untuk melindungi informasi dari penegak hukum dan menjalankan kampanye dengan risiko deteksi rendah.
Kedua, solusi deteksi ancaman juga akan menjadi lebih baik dalam mengenali ERMAC. Namun, jika kode sumber ini jatuh ke tangan pelaku ancaman lain, ada kemungkinan di masa depan akan muncul varian ERMAC yang dimodifikasi dan lebih sulit dideteksi.
Baca artikel lainnya:
- Cara Mengetahui Akun Spotify Diretas
- Tiga Zero-Day NTFS
- Mengenal Dark Web Monitoring
- Teknik Manipulasi Social Engineering
- Ancaman AI dan Deepfake Terbaru
- AwanPintar.id® Menyerahkan Laporan Serangan Siber kepada APJII
- Malware Tanpa File atau Fileless
- 5 Kerentanan Paragon Partition
- Trik Menggigit ClickFix
- Operasi Besar Malware di 2025
Sumber berita:
