You are Here
Νέο κακόβουλο λογισμικό ERMAC 2.0 Android κλέβει λογαριασμούς και πορτοφόλια από 467 εφαρμογές
Android Aσφάλεια Malware

Νέο κακόβουλο λογισμικό ERMAC 2.0 Android κλέβει λογαριασμούς και πορτοφόλια από 467 εφαρμογές

1 min read

Το ERMAC Android banking trojan κυκλοφόρησε την έκδοση 2.0, αυξάνοντας τον αριθμό των στοχευόμενων εφαρμογών από 378 σε 467, καλύπτοντας ένα πολύ ευρύτερο φάσμα εφαρμογών για κλοπή διαπιστευτηρίων λογαριασμού και πορτοφόλια κρυπτογράφησης.

Ο στόχος του trojan είναι να στείλει κλεμμένα διαπιστευτήρια σύνδεσης σε παράγοντες απειλών, οι οποίοι στη συνέχεια τα χρησιμοποιούν για να πάρουν τον έλεγχο των τραπεζικών λογαριασμών και των λογαριασμών κρυπτονομισμάτων άλλων ανθρώπων και να διενεργήσουν οικονομικές ή άλλες μορφές απάτης.

Το ERMAC πωλείται επί του παρόντος σε μέλη ιστοτόπων darknet με συνδρομή 5.000 $ ανά μήνα, που είναι 2 χιλιάδες $ πάνω από την τιμή της πρώτης έκδοσης, αντικατοπτρίζοντας την αναβάθμιση των χαρακτηριστικών και τη δημοτικότητά της.

  Bolt Food

Η πρώτη καμπάνια κακόβουλου λογισμικού που χρησιμοποιεί το νέο κακόβουλο λογισμικό ERMAC 2.0 είναι μια ψεύτικη εφαρμογή Bolt Food που στοχεύει στην πολωνική αγορά.

Σύμφωνα με ερευνητές της ESET, οι φορείς απειλών διένειμαν την εφαρμογή Android μέσω του ιστότοπου «bolt-food[.]site», υποδυόμενοι τη νόμιμη ευρωπαϊκή υπηρεσία παράδοσης τροφίμων. Αυτός ο ψεύτικος ιστότοπος εξακολουθεί να λειτουργεί τη στιγμή που γράφεται αυτό το άρθρο.

Malware-hosting site

Οι χρήστες πιθανότατα καταλήγουν στον ψεύτικο ιστότοπο μέσω email ηλεκτρονικού ψαρέματος, κακόβουλων αναρτήσεων στα μέσα κοινωνικής δικτύωσης, smishing, κακόβουλης διαφήμισης κ.λπ. Εάν κατεβάσουν την εφαρμογή, αντιμετωπίζονται με αίτημα άδειας που απαιτεί πλήρη έλεγχο της συσκευής τους.

Permissions requested upon installation

Η παραχώρηση πρόσβασης στην Υπηρεσία Προσβασιμότητας απαιτείται για την εξυπηρέτηση των επικαλύψεων εφαρμογών, εξαπατώντας το θύμα να εισαγάγει τα διαπιστευτήριά του σε φόρμες που φαίνονται νόμιμες αλλά είναι απλώς κλώνοι των πραγματικών διεπαφών εφαρμογών.

Η Cyble χρησιμοποίησε το κακόβουλο λογισμικό για μια βαθύτερη τεχνική ανάλυση και επιβεβαιώνει ότι παραχωρεί στον εαυτό της 43 άδειες κατά την εγκατάσταση (μέσω Προσβασιμότητας), συμπεριλαμβανομένων πρόσβασης SMS, πρόσβασης επαφών, δημιουργίας παραθύρου ειδοποίησης συστήματος, εγγραφής ήχου και πρόσβασης ανάγνωσης και εγγραφής πλήρους αποθήκευσης.

Share
Facebook Twitter Pinterest Linkedin

Related Posts

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *