Aug 16, 2025Rravie Lakshmananandroid / Investigadores de ciberseguridad de malware han detallado el funcionamiento interno de un troyano de banca Android llamado Ermac 3.0, descubriendo serias deficiencias en la infraestructura de los operadores. «La versión 3.0 recientemente descubierta revela una evolución significativa del malware, ampliando sus capacidades de inyección y robo de datos para apuntar a más de 700 aplicaciones de banca, compras y criptomonedas», dijo Hunt.io en un informe. Ermac fue documentado por primera vez por Denacefabric en septiembre de 2021, detallando su capacidad para realizar ataques superpuestos contra cientos de aplicaciones bancarias y de criptomonedas en todo el mundo. Atribuido a un actor de amenaza llamado Dukeeugene, se evalúa como una evolución de Cerberus y BlackRock. Otras familias de malware comúnmente observadas, incluido Hook (ERMAC 2.0), Pegaso y botín, poseen un linaje compartido: un antepasado en forma de ERMAC a partir de la cual los componentes del código fuente se han transmitido y modificado a través de generaciones. Hunt.io dijo que logró obtener el código fuente completo asociado con la oferta de malware como servicio (MAAS) desde un directorio abierto en 141.164.62[.]236: 443, hasta su backend PHP y Laravel, Frontend basado en React, Golang Exfiltration Server y Android Builder Panel. Las funciones de cada uno de los componentes se enumeran a continuación, el servidor Backend C2, proporciona a los operadores la capacidad de administrar dispositivos de víctimas y acceder a datos comprometidos, como registros de SMS, cuentas robadas y panel de frontend de datos de dispositivos, permite a los operadores interactuar con los dispositivos conectados con los comandos emitidos, administrar superposiciones y acceder al servidor de exfiltración de datos, un servidor de Golang, un servidor de Golang, un servidor de Golang, utilizado para el exfiltrado, el servidor de la información del exfiltrateo y el control de la información de la información. compromised devices ERMAC backdoor – An Android implant written in Kotlin that offers the ability to control the compromised device and collect sensitive data based on incoming commands from the C2 server, while ensuring that the infections don’t touch devices located in the Commonwealth of Independent States (CIS) nations ERMAC builder – A tool to help customers configure and create builds for their malware campaigns by providing the application name, server URL, and other settings for the Android Backdoor, además de un conjunto ampliado de objetivos de aplicación, ERMAC 3.0 agrega nuevos métodos de inyección de formulario, un panel de comando y control (C2) revisado, una nueva puerta trasera de Android y comunicaciones encriptadas AES-CBC. «La fuga reveló debilidades críticas, como un secreto JWT codificado y un token de portador administrativo estático, credenciales raíz predeterminadas y registro de cuentas abiertas en el panel de administración», dijo la compañía. «Al correlacionar estas fallas con la infraestructura ERMAC en vivo, proporcionamos a los defensores formas concretas de rastrear, detectar e interrumpir las operaciones activas».