Los investigadores de Hunt.io han hecho un descubrimiento significativo en el campo de ciberseguridad al obtener y analizar el código fuente completo de ERMAC V3.0. Este avanzado troyano de Android se dirige a más de 700 aplicaciones financieras en todo el mundo.
Esta visión única de una plataforma activa de malware como servicio ofrece una valiosa comprensión de las operaciones cibercriminales modernas y destaca las vulnerabilidades críticas que podrían ayudar a los defensores a combatir las amenazas continuas.
Infraestructura criminal expuesta
En marzo de 2024, el equipo de investigación de Hunt.io descubrió un servidor expuesto que contenía el código fuente completo de ERMAC V3.0 a través de su herramienta AttackCapture ™.
Abrir directorio que contiene el código fuente de ERMAC, descubierto por Hunt.io
El archivo filtrado contenía cinco componentes distintos: un servidor de backend basado en PHP, un panel React Frontend, un servidor de exfiltración de Golang, archivos de configuración de Docker y un constructor de aplicaciones de Android.
Esta fuga completa representa una de las exposiciones más detalladas de la infraestructura de un troyano bancario activo en los últimos años.
El descubrimiento tiene implicaciones significativas para los profesionales de la ciberseguridad en todo el mundo, ya que se rompen las filtraciones del código fuente de malware operativo.
Los investigadores de seguridad ahora pueden comprender exactamente cómo operan los troyanos bancarios modernos, se comunican con los servidores de comando y control y robar información financiera confidencial de dispositivos móviles.
Arquitectura multiplataforma sofisticada
ERMAC V3.0 demuestra una notable sofisticación en su diseño y capacidades. El malware se dirige a más de 700 aplicaciones de banca, compras y criptomonedas que utilizan técnicas de inyección de formularios avanzados.
Formulario Inyect que imita una aplicación bancaria y su función de devolución de llamada para exfiltrar datos de formulario.
A diferencia de sus predecesores, que se basaron en el código Cerberus filtrado, la versión 3.0 representa una evolución significativa con una infraestructura completamente reescrita y capacidades mejoradas de robo de datos.
El troyano utiliza el cifrado AES-CBC para todas las comunicaciones entre dispositivos infectados y sus servidores de comando y control, lo que hace que la detección sea más desafiante para las herramientas de seguridad tradicionales.
El malware también incluye restricciones geográficas, desinstalándose automáticamente si se detecta en la Commonwealth de países independientes o entornos de emuladores, lo que sugiere los intentos de los operadores de evitar el enjuiciamiento en ciertas regiones.
Capacidades técnicas clave:
Soporte de varios idiomas: admite 71 idiomas diferentes para operaciones globales. Cifrado avanzado: utiliza el relleno AES-CBC PKCS5 con Nonce codificado para comunicaciones seguras. Dirección integral: inyecta superposiciones maliciosas en más de 700 aplicaciones financieras y de criptomonedas. Características anti-análisis: detecta y evade automáticamente entornos emuladores y regiones geográficas específicas. Estructura de comando flexible: admite 71 comandos remotos diferentes, incluidos el robo de SMS, el reenvío de llamadas y la administración de archivos. Inicialización de Ermac
Fallas de seguridad críticas descubiertas
Análisis de Hunt.io reveló Varias vulnerabilidades críticas dentro de la infraestructura de Ermac que los investigadores de seguridad y la policía podrían explotar.
Estos incluyen tokens JWT codificados, credenciales raíz predeterminadas con la contraseña “ChangeMePlease” y la capacidad de cualquier persona para registrar cuentas de administrador a través de la API sin controles de autenticación adecuados.
EMPAC V3.0 Iniciar sesión en el panel
Estos defectos de seguridad representan riesgos operativos significativos para los ciberdelincuentes utilizando la plataforma y brindan oportunidades para que los defensores identifiquen e interrumpan las operaciones activas de ERMAC.
Los investigadores utilizaron con éxito estos indicadores para localizar una infraestructura ERMAC activa adicional, incluidos múltiples paneles de comando y control y servidores de exfiltración de datos que actualmente funcionan en línea.
El equipo de investigación ha desarrollado métodos de detección específicos y proporcionó inteligencia procesable para profesionales de ciberseguridad.
Crearon reglas de Yara para identificar aplicaciones de Android ERMAC y consultas SQL para descubrir componentes de infraestructura relacionados en Internet.
Formulario Sistema de administración de inyección con adversarios capaces de cargar y modificar aplicaciones específicas.
Estas herramientas permiten la caza de amenazas proactivas y ayudan a los equipos de seguridad a identificar las posibles infecciones de ERMAC antes de que puedan causar daños significativos.
Los hallazgos de Hunt.io demuestran el valor de las plataformas integrales de inteligencia de amenazas en la defensa moderna de ciberseguridad.
Al escanear todo el espacio de direcciones IPv4 y el monitoreo de directorios expuestos, la plataforma de la compañía puede identificar amenazas emergentes y proporcionar sistemas de alerta temprana para la comunidad de seguridad.
Este descubrimiento destaca tanto la sofisticación de las operaciones cibercriminales modernas como el potencial para que los investigadores de seguridad obtengan información crítica sobre sus actividades.
El análisis ERMAC V3.0 proporciona un plan para comprender las plataformas de malware como servicio y desarrollar estrategias defensivas más efectivas contra los troyanos bancarios dirigidos a dispositivos móviles.
A medida que las instituciones financieras y los desarrolladores de aplicaciones móviles continúan fortaleciendo sus medidas de seguridad, el acceso a la inteligencia detallada de amenazas como este análisis ERMAC se vuelve cada vez más valioso para mantenerse a la vanguardia de evolucionar las amenazas cibernéticas y proteger la información financiera confidencial de los usuarios.
Indicadores de compromiso (COI):
Red de observables
Dirección IP y Portasnbehaviorlast Seen43 (.) 160 (.) 253 (.) 145: 80As132203MAc 3.0 Panel2025-08-0891 (.) 92 () 46 (.) 12: 80As214196Mac 3.0 Panel2025-07-17206 (.) 123 (.) 128 () 81: 8018444444444444444444 1.0–2.0 Paneln/A43 (.) 160 (.) 253 (.) 145: 8080As132203MAC EXFILTRATION SERVER2025-08-08121 (.) 127 (.) 231 (.) 163: 8082As152194Mac Exfiltración Server2025-07-11121 (.) 127 (.) 231 (.) 198: 8082As152194Mac Exfiltration Server2025-07-12121 (.) 127 (.) 231 (.) 161: 8082As152194Mac Exfiltración Server2025-07-1243 (.) 160 (.) 253 (.) 145: 8089As132203MAmac C2 Server2025-08-08172 (.) 191 (.) 69 (.) 182: 8089As80755MAC C2 Server2025-07-1398 (.) 71 (.) 173 () 119: 808990757575757525252525252525252525252525252525252525. C2 Server2025-07-2520 (.) 162 (.) 226 (.) 228: 8089As8075ERMAC C2 Server2025-07-25141 (.) 164 (.) 62 (.) 236: 80As204733333333 32 Source EMCAC CODE2024-03-065 (.) 188 (.) 33 (.) 192: 443AS202422Mentados en el código fuente, posiblemente panel desactualizado/c2n/a
Observables basados en el huésped
Filenamesha-256 hashbehaviorermac 3.0.zip175d4adc5fc0b0d8eb4b7d93b6f9694e4a3089e4ed4c59a2828d0667a9992aaaermac fuente CodeServer_Go8C81CebBaff9C9CDAD69257F50AF0F5208A0D5923659B4E0C3319333F9E8D545MAC COMPILADO SERVER EXFILTRATION
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
