Το ERMAC Android banking trojan κυκλοφόρησε την έκδοση 2.0, αυξάνοντας τον αριθμό των στοχευόμενων εφαρμογών από 378 σε 467, καλύπτοντας ένα πολύ ευρύτερο φάσμα εφαρμογών για κλοπή διαπιστευτηρίων λογαριασμού και πορτοφόλια κρυπτογράφησης.
Ο στόχος του trojan είναι να στείλει κλεμμένα διαπιστευτήρια σύνδεσης σε παράγοντες απειλών, οι οποίοι στη συνέχεια τα χρησιμοποιούν για να πάρουν τον έλεγχο των τραπεζικών λογαριασμών και των λογαριασμών κρυπτονομισμάτων άλλων ανθρώπων και να διενεργήσουν οικονομικές ή άλλες μορφές απάτης.
Το ERMAC πωλείται επί του παρόντος σε μέλη ιστοτόπων darknet με συνδρομή 5.000 $ ανά μήνα, που είναι 2 χιλιάδες $ πάνω από την τιμή της πρώτης έκδοσης, αντικατοπτρίζοντας την αναβάθμιση των χαρακτηριστικών και τη δημοτικότητά της.
Bolt Food
Η πρώτη καμπάνια κακόβουλου λογισμικού που χρησιμοποιεί το νέο κακόβουλο λογισμικό ERMAC 2.0 είναι μια ψεύτικη εφαρμογή Bolt Food που στοχεύει στην πολωνική αγορά.
Σύμφωνα με ερευνητές της ESET, οι φορείς απειλών διένειμαν την εφαρμογή Android μέσω του ιστότοπου «bolt-food[.]site», υποδυόμενοι τη νόμιμη ευρωπαϊκή υπηρεσία παράδοσης τροφίμων. Αυτός ο ψεύτικος ιστότοπος εξακολουθεί να λειτουργεί τη στιγμή που γράφεται αυτό το άρθρο.
Οι χρήστες πιθανότατα καταλήγουν στον ψεύτικο ιστότοπο μέσω email ηλεκτρονικού ψαρέματος, κακόβουλων αναρτήσεων στα μέσα κοινωνικής δικτύωσης, smishing, κακόβουλης διαφήμισης κ.λπ. Εάν κατεβάσουν την εφαρμογή, αντιμετωπίζονται με αίτημα άδειας που απαιτεί πλήρη έλεγχο της συσκευής τους.
Η παραχώρηση πρόσβασης στην Υπηρεσία Προσβασιμότητας απαιτείται για την εξυπηρέτηση των επικαλύψεων εφαρμογών, εξαπατώντας το θύμα να εισαγάγει τα διαπιστευτήριά του σε φόρμες που φαίνονται νόμιμες αλλά είναι απλώς κλώνοι των πραγματικών διεπαφών εφαρμογών.
Η Cyble χρησιμοποίησε το κακόβουλο λογισμικό για μια βαθύτερη τεχνική ανάλυση και επιβεβαιώνει ότι παραχωρεί στον εαυτό της 43 άδειες κατά την εγκατάσταση (μέσω Προσβασιμότητας), συμπεριλαμβανομένων πρόσβασης SMS, πρόσβασης επαφών, δημιουργίας παραθύρου ειδοποίησης συστήματος, εγγραφής ήχου και πρόσβασης ανάγνωσης και εγγραφής πλήρους αποθήκευσης.