La recente fuga di codice sorgente della versione 3.0 del trojan bancario ERMAC ha portato alla luce l’intera infrastruttura di questo sofisticato malware Android, rivelando nuove vulnerabilità e dettagli tecnici rilevanti per la sicurezza informatica. ERMAC 3.0 rappresenta una significativa evoluzione rispetto alle versioni precedenti, ampliando le sue capacità di furto dati e iniezione di moduli malevoli su oltre 700 applicazioni, tra cui app bancarie, di shopping e di criptovalute.

Origini ed evoluzione di ERMAC

ERMAC, originariamente identificato nel 2021, deriva dai noti trojan Cerberus e BlackRock. La sua evoluzione ha dato origine anche ad altre famiglie di malware, come Hook, Pegasus e Loot, tutte caratterizzate da una struttura simile e da componenti di codice condivisi. La strategia di ERMAC si basa su attacchi overlay che sovrappongono schermate fraudolente alle app legittime per carpire credenziali e dati sensibili degli utenti.

Componenti e struttura della piattaforma

Il codice sorgente trapelato offre una panoramica dettagliata di tutti i componenti della piattaforma ERMAC, inclusi backend e frontend sviluppati rispettivamente con PHP Laravel e React, un server di esfiltrazione in Golang e un builder Android per personalizzare le infezioni. La struttura modulare permette agli operatori di gestire i dispositivi compromessi, accedere ai dati rubati, inviare comandi remoti e configurare nuove campagne malware in modo semplice e rapido.

Novità tecniche e vulnerabilità scoperte

Tra le principali novità di ERMAC 3.0 si segnalano metodi di iniezione dei form ancora più avanzati, un pannello di comando e controllo (C2) completamente rinnovato, un backdoor Android scritto in Kotlin e comunicazioni cifrate con AES-CBC. Particolarmente importante per la community di sicurezza è la scoperta di gravi falle nell’infrastruttura, come la presenza di segreti JWT hardcoded, token di amministratore statici, credenziali di root di default e la possibilità di registrazione di account sul pannello admin senza restrizioni.

Implicazioni per la sicurezza

Queste debolezze, se opportunamente sfruttate dai difensori, possono favorire il tracciamento, la rilevazione e addirittura la neutralizzazione delle operazioni ERMAC ancora attive. La fuga di codice fornisce così strumenti concreti per bloccare la diffusione di uno dei malware Android più insidiosi degli ultimi anni, sottolineando l’importanza della ricerca e della condivisione di informazioni nel campo della cybersecurity.