ERMAC è un banking trojan ossia un componente malevolo sviluppato per sottrarre principalmente le credenziali di accesso utilizzate dalle vittime per accedere ai conti correnti bancari online.
La seconda versione del malware per Android è stata scoperta in questi giorni ed è attualmente venduta sul “mercato nero” al prezzo di 5.000 dollari al mese. I criminali informatici utilizzano infatti ERMAC per sottrarre le credenziali altrui e trasferire fondi usando decine di servizi di online banking. La quota richiesta mensilmente dagli sviluppatori dà un’idea di quali possano essere i ricavi dei criminali.
La novità è che ERMAC 2.0 porta a ben 467 il numero delle app Android supportate: ciò significa che il trojan è capace di rubare password e dati di accesso per la gestione di un gran numero di conti online di tanti istituti di credito a livello mondiale. Il malware è inoltre capace di trasferire fondi dai portafogli di criptovalute altrui.
Uno strumento come ERMAC 2.0 viene sfruttato non soltanto per appropriarsi del denaro altrui ma anche per porre in essere varie forme di frodi finanziarie.
Allo stato attuale ERMAC 2.0 viene integrato in app Android presentate come legittime oppure si prova ad aumentarne la diffusione attraverso la comparsa di falsi messaggi di avviso, durante la navigazione sul Web, che informano circa l’utilizzo di una versione obsoleta del browser.
Lo spiegano i ricercatori di Cyble che descrivono nel dettaglio il comportamento di ERMAC 2.0.
Il malware, una volta in esecuzione sul dispositivo Android della vittima, raccoglie l’elenco delle app installate e lo invia a un server Command and Control (C&C). Quest’ultimo invia il materiale necessario per l’installazione dei cosiddetti injection module, utilizzati per bersagliare le app presenti sul dispositivo.
Utilizzando i permessi di accessibilità precedentemente accordati dall’utente (è sempre bene porre la massima attenzione prima di accordare questo tipo di autorizzazioni sui dispositivi Android), ERMAC 2.0 rileva l’utilizzo delle app di banche, per la gestione di portafogli e altre applicazioni “sensibili” e mostra al di sopra di esse una schermata fasulla con l’intento di sottrarre i dati di autenticazione.
Tanti utenti penseranno di trovarsi nell’app della propria banca o in un’altra applicazione Android legittima e inseriranno nomi utente e password, tutte informazioni che saranno automaticamente trasmesse agli aggressori.
ERMAC 2.0 mette in evidenza come un antivirus Android non è affatto inutile, anche se si scaricano le app solo dal Play Store.
È capitato più volte, infatti, che alcune applicazioni – contravvenendo alle regole basilari definite da Google – abbiano effettuato il download di componenti dannosi dopo l’installazione o comunque a distanza di tempo dal primo rilascio.
Esaminando il codice alla base del funzionamento di ERMAC 2.0, i ricercatori di Cyble hanno trovato numerose somiglianze con Cerberus, malware Android che supera anche l’autenticazione a due fattori. ERMAC 2.0 viene considerato come l’evoluzione del già noto Cerberus.