19/08/25
Эта версия развивает способности предшественников, добавляя новые методы внедрения форм и расширяя спектр атакуемых приложений — теперь в списке более 700 сервисов для онлайн-банков, покупок и операций с криптовалютой.
ERMAC был впервые описан в 2021 году компанией ThreatFabric, напоминает Securitylab. Тогда внимание экспертов привлекла способность вредоноса подменять интерфейсы приложений для перехвата данных. За разработкой стоит хакер под ником DukeEugene, а сам троян считается ответвлением семейств Cerberus и BlackRock. Позже на основе его кода появились другие проекты, включая Hook (он же ERMAC 2.0 ), Pegasus и Loot, которые унаследовали части исходного решения.
Нынешний анализ Hunt.io стал возможен благодаря утечке полного исходного кода сервиса «вредонос как услуга». В открытом доступе оказался весь набор компонентов: PHP и Laravel-бэкенд, React-фронтенд, сервер на Go для вывода похищенной информации и панель сборки Android-приложений. Такой комплект позволяет понять, как именно построена экосистема трояна.
Архитектура разделена на несколько частей. Центральный сервер управления даёт злоумышленникам возможность контролировать заражённые устройства и просматривать собранные данные, включая СМС, учётные записи и технические сведения о телефоне.
Веб-панель используется для отдачи команд, настройки оверлеев и управления добытыми данными. Отдельный сервер на Go отвечает за пересылку украденной информации. Само вредоносное приложение написано на Kotlin и получает указания от централизованного C2-сервера, собирая конфиденциальные сведения и выполняя команды.
Примечательно, что заражение намеренно не активируется на устройствах в странах СНГ. Дополнительно присутствует собственный конструктор, позволяющий «клиентам» конфигурировать сборки: задавать название приложения, сервер и другие параметры будущей кампании.
В версии 3.0 появились усовершенствованные методы перехвата форм, новый Android-бэкдор, обновлённая панель управления и защищённые каналы связи с использованием AES-CBC. Однако при этом инфраструктура оказалась крайне уязвимой.
Также в системе были обнаружены жёстко прописанный секрет JWT, статический админ-токен, стандартные учётные данные root и даже возможность регистрации новых учётных записей в админке без ограничений. Все эти недочёты дают возможность отслеживать и блокировать активные кампании, что превращает найденные ошибки в ценный инструмент для защитников.
