كشف باحثون في الأمن السيبراني تفاصيل داخلية عن حصان طروادة البنكي المخصص لأجهزة أندرويد المعروف باسم ERMAC 3.0، بعد تسريب شيفرته المصدرية، الأمر الذي فضح البنية التحتية الكاملة للبرمجية وأظهر نقاط ضعف خطيرة في منظومة تشغيلها.
تطور قدرات حصان طروادة ERMAC
بحسب تقرير منصة Hunt.io، فإن الإصدار الجديد من ERMAC 3.0 يمثل تطورًا كبيرًا مقارنة بالإصدارات السابقة، حيث وسّع من قدراته في حقن النماذج وسرقة البيانات ليستهدف أكثر من 700 تطبيق في مجالات البنوك والتسوق والعملات الرقمية.
وتم توثيق ERMAC لأول مرة في سبتمبر 2021 من قبل ThreatFabric، حيث أثبت قدرته على تنفيذ هجمات التراكب ضد مئات التطبيقات البنكية وتطبيقات العملات المشفرة حول العالم. ويُعتقد أن مطوّره يُعرف باسم DukeEugene، ويُنظر إليه كنسخة مطورة من برمجيات Cerberus وBlackRock. كما أن عائلات برمجيات خبيثة أخرى مثل Hook (ERMAC 2.0) وPegasus وLoot ترتبط بسلسلة وراثية تقنية تعود جذورها إلى ERMAC.
بنية تحتية معقدة ومكتملة
تمكّن باحثو Hunt.io من الوصول إلى الشيفرة الكاملة الخاصة بخدمة البرمجية كخدمة (MaaS) من خلال دليل مفتوح على الخادم 141.164.62[.]236:443، والتي تضمنت مكونات متكاملة تشمل:
-
الخادم الخلفي (Backend C2): يتيح للمشغلين إدارة الأجهزة المخترقة والوصول إلى البيانات المسروقة مثل الرسائل النصية القصيرة وحسابات المستخدمين وبيانات الأجهزة.
-
اللوحة الأمامية (Frontend Panel): تمكّن المهاجمين من إصدار الأوامر والتحكم في هجمات التراكب والوصول إلى البيانات المسروقة.
-
خادم استخراج البيانات (Exfiltration Server): مكتوب بلغة Golang، ويُستخدم لإدارة البيانات المسروقة المتعلقة بالأجهزة المصابة.
-
الباب الخلفي ERMAC: تطبيق خبيث مكتوب بلغة Kotlin، يسمح بالتحكم الكامل في الجهاز المصاب وجمع البيانات الحساسة استنادًا إلى أوامر خادم التحكم والسيطرة، مع استثناء الأجهزة الموجودة في دول رابطة الدول المستقلة (CIS).
-
أداة بناء ERMAC (ERMAC Builder): تُستخدم لمساعدة العملاء على تهيئة وبناء نسخ مخصصة من البرمجية عبر إدخال اسم التطبيق وعنوان الخادم وإعدادات أخرى.
ثغرات قاتلة في البنية الأمنية
إلى جانب استهداف نطاق أوسع من التطبيقات، أضاف ERMAC 3.0 طرقًا جديدة لحقن النماذج ولوحة C2 محسّنة وبابًا خلفيًا محدثًا، بالإضافة إلى اعتماد اتصالات مشفرة باستخدام AES-CBC.
لكن التسريب كشف عن نقاط ضعف جوهرية في بنيته، من بينها وجود مفتاح JWT ثابت، ورمز Admin Bearer ثابت، وبيانات دخول جذرية افتراضية، بالإضافة إلى إمكانية التسجيل المفتوح على لوحة التحكم الإدارية. وأكد الباحثون أن هذه الثغرات توفر فرصًا للدفاعات السيبرانية لتعقّب البنية النشطة، واكتشافها، وتعطيل عملياتها بشكل مباشر.
