I ricercatori di ESET sulla sicurezza informatica hanno scoperto una nuova versione del Trojan bancario Android ERMAC del 2021 che prende di mira 467 app per rubare credenziali e derubarti dei tuoi sudati guadagni.
Il malware viene diffuso attraverso siti Web falsi. Ad esempio, una versione falsa del sito di Bolt Food, che è una famosa piattaforma di consegna di cibo in Europa, è stata creata per prendere di mira gli utenti polacchi.
Una volta che un utente cade in preda e scarica un’app fraudolenta, richiede fino a 43 autorizzazioni, come consentirgli di leggere da una memoria esterna e consentirgli di leggere i messaggi di testo, e chiede anche all’utente di attivare il servizio di accessibilità. Quando viene concesso, inizia a utilizzare in modo improprio i servizi abilitando l’attività di sovrapposizione e concedendo le autorizzazioni.
Il malware invia quindi un elenco di app installate sul dispositivo Android della vittima al server Command and Control. Quindi riceve una risposta con l’aiuto della quale sovrappone discretamente le app legittime e ottiene l’accesso a dati sensibili e autorizzazioni pericolose. L’app crittografica indiana Unocoin era tra le app prese di mira in questo modo.
Il malware memorizza quindi una pagina di phishing HTML sul dispositivo e quando la vittima utilizza l’app originale mirata, viene visualizzata invece la pagina di phishing per rubare le credenziali, che vengono quindi inviate al server Command and Control.
L’hacker utilizza quindi le informazioni raccolte per rubare la criptovaluta dall’account dell’utente.
Applicazioni bancarie oggetto di ERMAC 2.0
Cyble osserva che ERMAC si basa su un noto malware chiamato Cerberus e avverte che le persone dietro ERMAC 2.0 continueranno a creare nuove versioni con funzionalità avanzate.
