După ce am aflat că Google a epurat sute de mii de aplicaţii din Play Store, care nu mai fuseseră actualizate de mai bine de 2 ani, acum descoperim şi o practică periculoasă legată de aplicaţii din magazinul de aplicaţii Google. Cercetătorii în cyber securitate de la ESET au descoperit o nouă versiune a troianului ERMAC, care ţinteşte 467 de aplicaţii Android.
ERMAC este un troian din 2021, un Android Banking Trojan, care se infiltrează în 467 de aplicaţii în versiunea sa 2022. ERMAC 2.0fură credențialele victimelor pentru aplicaţii de banking sau crypto şi face asta prin imitarea unor aplicaţii legitime. Cyble Research Labs a făcut teste şi a descoperit că hackerii pot închiria troianul la suma de 5000 de dolari pe lună. ERMAC 1.0 se închiriase la 3000 de dolari pe lună anul trecut şi ţinea 378 de aplicaţii.
Malware-ul se răspândeşte prin site-uri false, iar un exemplu este site-ul Bolt Food din Polonia, cu destul de mulţi utilizatori picaţi în capcană. Odată ce cădeau pradă acestui atac şi descărcai o aplicaţie frauduloasă ea cerea nu mai puţin de 43 de permisiuni pe telefon, inclusiv de a citi stocare externă, SMS-uri şi chiar de a umbla la Accessibility. Malware-ul trimite şi o listă de aplicaţii instalate pe telefonul victimei către un server Command and Control.
Apoi hackerii înlocuiesc aplicaţiile legitime cu o variantă pirat a lor şi încep să îţi preia datele de autentificare. Practic în orice aplicaţie clasică intri şi completezi user şi parola, ea va avea deja un strat de malware suprapus care fură datele respective. Sunt şi pagini de phishing multe asociate acestui atac, legate de criptomonede, de bănci din Japonia, India, Australia, SUA.
ERMAC e bazat pe un alt malware celebru, Cerberus. Experţii vă sfătuiesc să ţineţi telefonul actualizat la zi şi să aveţi grijă ce permisiuni acordaţi şi de unde luaţi APK-uri.
