根據最新研究,BlackRock 移動惡意軟體背後的運營商已經通過名為ERMAC的新 Android 銀行木馬重新浮出水面,該木馬針對波蘭,其根源在於臭名昭著的 Cerberus 惡意軟體。
2021年8月起,攻擊範圍擴大到包括銀行、媒體播放機、交付服務、政府應用程式和McAfee等防病毒解決方案等一系列應用程式。
幾乎完全基於臭名昭著的銀行木馬Cerberus,這家荷蘭網路安全公司的調查結果來自上個月一位名叫 DukeEugene 的演員在 8 月 17 日發佈的論壇帖子,邀請潛在客戶“向一小群人租用一個具有廣泛功能的新安卓僵屍網路” “每月 3,000 美元。
DukeEugene 也被稱為2020 年 7 月曝光的BlackRock活動的幕後演員。該資訊竊取程式和鍵盤記錄程式具有一系列資料竊取功能,起源於另一種名為 Xerxes 的銀行變種——它本身就是 LokiBot Android 銀行木馬的變種- 惡意軟體的原始程式碼由其作者于 2019 年 5 月左右公開。
Cerberus 於 2020 年 9 月在地下駭客論壇上以免費的遠端存取木馬 (RAT) 形式發佈了自己的原始程式碼,此前拍賣失敗,為開發人員尋求 100,000 美元。
ThreatFabric 還強調了自 ERMAC 出現以來停止使用貝萊德新鮮樣本,這增加了“杜克尤金在其運營中從使用貝萊德轉向使用 ERMAC”的可能性。除了與 Cerberus 有相似之處外,新發現的毒株還以其使用混淆技術和Blowfish加密方案與命令和控制伺服器進行通信而著稱。
ERMAC 與其前身和其他銀行惡意軟體一樣,旨在竊取聯繫資訊、短信、打開任意應用程式,並觸發針對眾多金融應用程式的覆蓋攻擊以刷入登錄憑據。此外,它還開發了新功能,允許惡意軟體清除特定應用程式的緩存並竊取存儲在設備上的帳戶。
研究人員說:“ERMAC 的故事再次表明,惡意軟體原始程式碼洩漏不僅會導致惡意軟體家族的蒸發速度減慢,而且還會為威脅領域帶來新的威脅/參與者。” “雖然它缺乏一些像 RAT 這樣強大的功能,但它仍然對全世界的移動銀行用戶和金融機構構成威脅。”
|
|