ERMAC

ERMACは、新しいAndroidバンキング型トロイの木馬です。
これは、Cerberusというバンキング型トロイの木馬をベースに作られたものです。
Cerberusは、2020年9月に話題になりました。
Cerberusの作者が地下フォーラムでオークションにかけたのです。
Cerberusはオークションにかけられる前(2019年8月)から広く活動が観測されていました。
オークションの対象物の内容は次のようなものでした。

  • コンポーネントのソースコード(悪意のあるAPK、管理パネル、C2コード)
  • インストールガイド
  • セットアップ用のスクリプトのコレクション
  • アクティブなライセンスを持つ顧客リスト
  • 顧客の連絡先
  • 潜在的なバイヤー

結局、オークションは成立しなかったようです。
その後Cerberusの作者は、Cerberusv2という名前のソースコードを無料で公開しました。
Cerberusは、よくあるような何かもとになるものを改造して作られたものとは異なり、他のマルウェアからコードを借用しない、ゼロから開発されたAndroidRATです。
そういう意味では、公開は作者の自由、といえるでしょうか。

Cerberusには次のような機能が実装されています。

  • スクリーンショットを撮る
  • オーディオの録音
  • キーログの記録
  • SMSの送信、受信、削除、
  • 連絡先リストを盗む
  • 通話の転送
  • デバイス情報の収集
  • 追跡デバイスの場所
  • アカウントの資格情報を盗む、
  • PlayProtectを無効にする
  • 追加のアプリとペイロードのダウンロード
  • 感染したデバイスからアプリを削除する
  • 通知の送信
  • 装置画面のロック

ERMACは、こういうCerberusをもとに作られています。
ERMACは基本的にCerberusの機能はすべて搭載し、さらにそれを強力になるように拡張されています。
拡張のポイントは例えば次のようなものです。

  • C2との通信でCerberusとは異なる暗号化スキームを使用する
    データはAES-128-CBCで暗号化され、エンコードされたデータの長さを含むダブルワードが前に付けられます。
  • 指定されたアプリケーションのキャッシュの内容をクリアする
  • デバイスアカウントを盗むことを可能にするいくつかのコマンドを追加実装する

元となったCerberusは、運営チームが24時間サポートのサービスの継続が難しくなって、結局解散に至ったようです。
しかしそのソースコードが配布されることで、ERMACのような新しい脅威を生み出してしまっています。

ERMACは、いま、レンタルサービスが展開されています。
月額利用料は、3000ドルです。

犯罪組織が解散されましたが、ソースコードが公開されていたため、また別の新しい犯罪組織が生まれてしまっています。
犯罪組織を解散に追い込むという活動だけなく、犯罪が割に合わないようにする何かの活動が必要なのかもしれません。

参考記事(外部リンク):ERMAC, a new banking Trojan that borrows the code from
Cerberus malware

securityaffairs.co/wordpress/122657/malware/ermac-banking-trojan.html

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。