CyberThao
Writer
Các chuyên gia an ninh mạng vừa công bố chi tiết cách hoạt động bên trong của trojan ngân hàng Android ERMAC 3.0, đồng thời chỉ ra những lỗ hổng nghiêm trọng trong cơ sở hạ tầng mà nhóm vận hành sử dụng.
Theo báo cáo từ Hunt.io, phiên bản mới này cho thấy sự phát triển vượt bậc, mở rộng khả năng chèn biểu mẫu và đánh cắp dữ liệu, nhắm mục tiêu hơn 700 ứng dụng ngân hàng, mua sắm và tiền điện tử.
ERMAC lần đầu được phát hiện bởi ThreatFabric vào tháng 9/2021, nổi bật với khả năng thực hiện tấn công lớp phủ (overlay attacks) trên hàng trăm ứng dụng toàn cầu. Phần mềm này được cho là do một tác nhân có tên DukeEugene phát triển, được xem như bản tiến hóa của Cerberus và BlackRock.
Nhiều biến thể khác cũng có nguồn gốc từ ERMAC, bao gồm Hook (ERMAC 2.0), Pegasus và Loot, với mã nguồn được tái sử dụng và chỉnh sửa qua nhiều thế hệ.
Chức năng từng thành phần cụ thể như sau:
Đọc chi tiết tại đây: https://thehackernews.com/2025/08/ermac-v30-banking-trojan-source-code.html
Theo báo cáo từ Hunt.io, phiên bản mới này cho thấy sự phát triển vượt bậc, mở rộng khả năng chèn biểu mẫu và đánh cắp dữ liệu, nhắm mục tiêu hơn 700 ứng dụng ngân hàng, mua sắm và tiền điện tử.
ERMAC lần đầu được phát hiện bởi ThreatFabric vào tháng 9/2021, nổi bật với khả năng thực hiện tấn công lớp phủ (overlay attacks) trên hàng trăm ứng dụng toàn cầu. Phần mềm này được cho là do một tác nhân có tên DukeEugene phát triển, được xem như bản tiến hóa của Cerberus và BlackRock.
Nhiều biến thể khác cũng có nguồn gốc từ ERMAC, bao gồm Hook (ERMAC 2.0), Pegasus và Loot, với mã nguồn được tái sử dụng và chỉnh sửa qua nhiều thế hệ.
Các thành phần hạ tầng bị rò rỉ
Hunt.io cho biết họ đã thu được mã nguồn đầy đủ của dịch vụ ERMAC dưới dạng Malware-as-a-Service (MaaS) từ một thư mục mở tại địa chỉ 141.164.62[.]236:443. Hệ thống này bao gồm phần phụ trợ PHP và Laravel, giao diện người dùng bằng React, máy chủ lọc dữ liệu viết bằng Golang và công cụ xây dựng trojan trên Android.Chức năng từng thành phần cụ thể như sau:
- Máy chủ C2 phụ trợ: Quản lý thiết bị nạn nhân, truy cập dữ liệu bị đánh cắp như SMS, tài khoản và thông tin thiết bị.
- Bảng điều khiển giao diện người dùng: Cho phép gửi lệnh, quản lý lớp phủ và truy cập dữ liệu từ các thiết bị bị xâm nhập.
- Máy chủ trích xuất dữ liệu: Viết bằng Golang, dùng để quản lý và trích xuất dữ liệu nhạy cảm.
- Cửa hậu ERMAC: Ứng dụng Android viết bằng Kotlin, điều khiển thiết bị từ xa, thu thập dữ liệu theo lệnh từ máy chủ C2. Đáng chú ý, nó bỏ qua thiết bị thuộc Cộng đồng các quốc gia độc lập (CIS).
- Trình xây dựng ERMAC: Công cụ cho phép kẻ tấn công cấu hình và tạo bản dựng riêng, tùy chỉnh tên ứng dụng, URL máy chủ và các thiết lập khác.
Những điểm yếu bị phơi bày
Vụ rò rỉ không chỉ làm lộ toàn bộ cấu trúc ERMAC mà còn cho thấy các lỗ hổng nghiêm trọng trong hạ tầng, bao gồm:- Mật khẩu JWT được mã hóa cứng
- Mã thông báo quản trị tĩnh
- Thông tin đăng nhập gốc mặc định
- Đăng ký tài khoản mở trên bảng điều khiển quản trị
Đọc chi tiết tại đây: https://thehackernews.com/2025/08/ermac-v30-banking-trojan-source-code.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview