ERMAC
ERMACは、新しいAndroidバンキング型トロイの木馬です。
これは、Cerberusというバンキング型トロイの木馬をベースに作られたものです。
Cerberusは、2020年9月に話題になりました。
Cerberusの作者が地下フォーラムでオークションにかけたのです。
Cerberusはオークションにかけられる前(2019年8月)から広く活動が観測されていました。
オークションの対象物の内容は次のようなものでした。
- コンポーネントのソースコード(悪意のあるAPK、管理パネル、C2コード)
- インストールガイド
- セットアップ用のスクリプトのコレクション
- アクティブなライセンスを持つ顧客リスト
- 顧客の連絡先
- 潜在的なバイヤー
結局、オークションは成立しなかったようです。
その後Cerberusの作者は、Cerberusv2という名前のソースコードを無料で公開しました。
Cerberusは、よくあるような何かもとになるものを改造して作られたものとは異なり、他のマルウェアからコードを借用しない、ゼロから開発されたAndroidRATです。
そういう意味では、公開は作者の自由、といえるでしょうか。
Cerberusには次のような機能が実装されています。
- スクリーンショットを撮る
- オーディオの録音
- キーログの記録
- SMSの送信、受信、削除、
- 連絡先リストを盗む
- 通話の転送
- デバイス情報の収集
- 追跡デバイスの場所
- アカウントの資格情報を盗む、
- PlayProtectを無効にする
- 追加のアプリとペイロードのダウンロード
- 感染したデバイスからアプリを削除する
- 通知の送信
- 装置画面のロック
ERMACは、こういうCerberusをもとに作られています。
ERMACは基本的にCerberusの機能はすべて搭載し、さらにそれを強力になるように拡張されています。
拡張のポイントは例えば次のようなものです。
- C2との通信でCerberusとは異なる暗号化スキームを使用する
データはAES-128-CBCで暗号化され、エンコードされたデータの長さを含むダブルワードが前に付けられます。 - 指定されたアプリケーションのキャッシュの内容をクリアする
- デバイスアカウントを盗むことを可能にするいくつかのコマンドを追加実装する
元となったCerberusは、運営チームが24時間サポートのサービスの継続が難しくなって、結局解散に至ったようです。
しかしそのソースコードが配布されることで、ERMACのような新しい脅威を生み出してしまっています。
ERMACは、いま、レンタルサービスが展開されています。
月額利用料は、3000ドルです。
犯罪組織が解散されましたが、ソースコードが公開されていたため、また別の新しい犯罪組織が生まれてしまっています。
犯罪組織を解散に追い込むという活動だけなく、犯罪が割に合わないようにする何かの活動が必要なのかもしれません。
参考記事(外部リンク):ERMAC, a new banking Trojan that borrows the code from
Cerberus malware
securityaffairs.co/wordpress/122657/malware/ermac-banking-trojan.html
