ERMAC V3.0 バンキング型トロイの木馬

サイバーセキュリティ研究者は、Androidを標的とするバンキング型トロイの木馬の最新版であるERMAC 3.0を解析し、高度な機能と、その運営者のインフラにおける重大な脆弱性の両方を明らかにしました。このマルウェアは、幅広い金融およびデジタルプラットフォームを標的とするモバイルバンキングの脅威において、大きな進歩を示しています。

ケルベロスからERMAC 3.0へ：悪意ある進化

2021年9月に初めて記録されたERMACは、悪名高いCerberusファミリーとBlackRockファミリーにルーツを持ちます。このマルウェアはDukeEugeneとして知られる脅威アクターによるものとされており、初期のオーバーレイ攻撃から洗練されたMaaS（Malware-as-a-Service）攻撃へと着実に進化を遂げてきました。

ERMAC 3.0は現在、銀行、ショッピング、暗号通貨サービスなど、700以上のアプリケーションを脅かしています。Hook（ERMAC 2.0）、Pegasus、Lootといった他のマルウェアもERMACの系譜を受け継いでおり、後継バージョンに受け継がれたコードコンポーネントを借用・改変しています。

マルウェアツールキットの分析

研究者らはERMAC 3.0の完全なソースコードを公開し、そのモジュール構造を明らかにしました。このツールキットは相互接続された複数のコンポーネントで構成されており、それぞれが大規模なサイバー犯罪キャンペーンの実行において重要な役割を果たしています。

バックエンド C2 サーバー- 攻撃者が感染したデバイスを管理し、SMS ログ、盗まれた資格情報、デバイス データを取得できるようにします。

フロントエンド パネル- コマンドを発行し、オーバーレイを展開し、侵害された情報を表示するためのオペレーター インターフェイスを提供します。

Exfiltrate Server – データの盗難と侵害されたデバイスの管理に特化した Golang ベースのサーバー。

ERMAC バックドア– CIS 諸国にあるデバイスのリモート制御、データ収集、回避が可能な Kotlin ベースの Android インプラント。

ERMAC ビルダー– サーバーの詳細とバックドアのパラメータをカスタマイズして、悪意のある APK の作成を自動化する構成ツール。

ERMAC 3.0の新機能

第3世代のTrojanは、前世代のTrojanに比べていくつかの改良点を導入しています。具体的には以下のとおりです。

• 資格情報の盗難のための拡張フォームインジェクション手法。
• 操作を合理化するために再設計されたコマンド アンド コントロール (C2) パネル。
• 強化されたデバイス操作機能を備えた新しい Android バックドア。

犯罪基盤の亀裂

ERMAC 3.0は機能が強化されているにもかかわらず、深刻な運用上の欠陥を抱えています。研究者らは、ハードコードされたJWTシークレット、静的な管理者ベアラートークン、デフォルトのルート認証情報、さらには管理コントロールパネルへの無制限の登録といった欠陥を発見しました。これらの脆弱性は、運用者のセキュリティ対策の不備を浮き彫りにするだけでなく、実世界のキャンペーンにおいてトロイの木馬の活動を監視、検出、阻止しようとする防御側にとって貴重な侵入口となる可能性があります。

モバイルの脅威から身を守る

ERMAC 3.0の内部構造の暴露は、Androidを標的としたバンキング型トロイの木馬がますます巧妙化していることを改めて認識させるものです。サイバー犯罪者はツールを改良し続けていますが、そのミスはセキュリティチームにとって依然として悪用される可能性があります。一般ユーザーにとって、常に警戒を怠らないことが最も効果的な防御策です。信頼できるソースからのアプリケーションのみをインストールすること、デバイスを最新のセキュリティパッチで更新し続けること、そして疑わしいリンクや添付ファイルを避けることはすべて、重要な対策です。常に注意を払い、積極的に行動することで、ERMAC 3.0のような脅威の被害に遭うリスクを大幅に軽減できます。