Security affairs消息，一種名為ERMAC的新型病毒已經(jīng)現(xiàn)身互聯(lián)網(wǎng)，它主要針對安卓平臺的銀行應(yīng)用，研究者已經(jīng)確定，ERMAC可以至少從378個(gè)銀行和錢包的APP中竊取金融數(shù)據(jù)。

在2021年7月，Threatfabric的研究人員首次發(fā)現(xiàn)了ERMAC，它的運(yùn)作模式和代碼組成與此前流行的惡意軟件Cerberus十分相似，研究人員幾乎可以肯定，ERMAC正是Cerberus的特殊變種。

Cerberus最早出現(xiàn)在2019年6月，它是Anubis惡意軟件的變種。雖然在2020年9月，Cerberus惡意軟件團(tuán)隊(duì)宣布解散，不過木馬病毒并沒有就此銷聲匿跡，因?yàn)樵诮馍r(shí)，團(tuán)隊(duì)以以10萬美元的價(jià)格拍賣了源代碼，隨后各類Cerberus開始在地下黑客論壇上流行。

我們有理由相信，ERMAC也來源于此。

在8月17日，ID為ermac和DukeEugene的兩人開始在地下論壇中中積極推廣ERMAC木馬，其中DukeEugene還在論壇中發(fā)布了以下招募信息：“ERMAC是惡意安卓木馬，我將在小范圍內(nèi)(10人)租售這款功能強(qiáng)大的新型安卓木馬，每月租金僅3000美金，PM中有詳細(xì)的信息。”

[[426630]]

值得一提的是，DukeEugene 是BlackRock銀行木馬的幕后核心成員。專家認(rèn)為，ERMAC與BlackRock移動(dòng)惡意軟件的幕后團(tuán)隊(duì)有著千絲萬縷的聯(lián)系。

雖然師出同門，但ERMAC還是和此前Cerberus惡意軟件有些許的不同，ERMAC使用了不同的混淆技術(shù)和加密算法，使得破解起來更加復(fù)雜。

“盡管使用了不同的混淆技術(shù)和新的字符串加密方法——blowfish加密算法，我們可以肯定地說，ERMAC是另一個(gè)基于Cerberus的木馬。”黑客組織發(fā)文稱，“與最初的Cerberus相比，ERMAC使用了與C2通信不同的加密方案：數(shù)據(jù)用AES-128-CBC加密，并且數(shù)字編碼的長度控制在兩個(gè)字以內(nèi)。”

除了那些允許清除指定應(yīng)用程序的緩存內(nèi)容和竊取設(shè)備帳戶的命令以外，新型的銀行木馬同樣支持最新的Cerberus命令，這將會(huì)讓木馬變得更加易用。

而就在本文寫作的過程中，黑客威脅組織的研究人員在MalwareHunter團(tuán)隊(duì)專家的支持下，正在波蘭境內(nèi)以快遞服務(wù)和市政服務(wù)的幌子下不斷分發(fā)出去。

這一次，新型銀行木馬ERMAC的目標(biāo)是300多家銀行和移動(dòng)應(yīng)用程序。

ERMAC的故事再一次向我們展示了，惡意軟件源代碼泄漏不僅會(huì)增加病毒和木馬的危險(xiǎn)系數(shù)，甚至還可能成為新一輪互利網(wǎng)供給的起因。毫無疑問，ERMAC脫胎于Cerberus惡意軟件，但同時(shí)也開發(fā)了一些新的功能，盡管它還缺乏一些類似于RAT那樣的強(qiáng)大功能，仍然會(huì)對世界各地的銀行和金融機(jī)構(gòu)造成嚴(yán)重的威脅。