Команда исследователей Hunt.io обнаружила и проанализировала полный исходный код ERMAC V3.0 - активного банковского трояна, распространяемого по модели Malware-as-a-Service (MaaS). Утечка, найденная 6 марта 2024 года в открытом каталоге на IP-адресе 141[.]164[.]62[.]236, включает все компоненты платформы: бэкенд, панель управления, сервер эксфильтрации данных и инструмент сборки вредоносных APK-файлов. Подобные инциденты с действующими угрозами крайне редки и предоставляют уникальные возможности для анализа уязвимостей, атрибуции атак и картографирования инфраструктуры.
Описание
Эволюция угрозы
ERMAC демонстрирует сложную историю развития. Первые версии трояна базировались на утекшем коде Cerberus, а к концу 2023 года ERMAC 2.0 интегрировал фрагменты ботнета Hook. Версия 3.0, представленная в утечке, значительно расширила функционал: теперь троян способен внедрять фишинговые формы и красть данные из более чем 700 мобильных приложений, включая банковские сервисы, маркетплейсы и криптовалютные кошельки. Обновление также принесло переработанную панель управления, усовершенствованный Android-бэкдор и AES-CBC-шифрование для скрытия коммуникаций.
Техническое устройство платформы
Утечка объемом 1.2 ГБ содержит пять ключевых компонентов. Бэкенд-сервер написан на PHP с использованием фреймворка Laravel и управляет взаимодействием с зараженными устройствами через 29 API-маршрутов. Эти маршруты позволяют операторам выполнять команды (от отправки SMS до кражи контактов), управлять инъекциями форм и доступом к панели администрирования. Фронтенд-панель на React предоставляет графический интерфейс для контроля ботнета, включая мониторинг устройств и настройку целей для атак.
Сервер эксфильтрации, написанный на Golang, обрабатывает украденные данные через отдельный зашифрованный канал, снижая риски обнаружения основного C2-сервера. Android-бэкдор на Kotlin поддерживает 71 язык, использует AES-CBC с фиксированным nonce («0123456789abcdef») и включает механизмы избегания анализа: проверку эмуляторов и геоблокировку для стран СНГ. Веб-сборщик (builder) позволяет злоумышленникам генерировать кастомизированные APK-файлы с обфускацией через Obfuscapk.
Критические уязвимости и активная инфраструктура
Анализ кода выявил грубые ошибки безопасности. В бэкенде обнаружены жестко прописанные JWT-секреты (ключ «h3299xK7gdARLk85rsMyawT7K4yGbxYbkKoJo8gO3lMdl9XwJCKh2tMkdCmeeSeK»), учетные данные администратора по умолчанию (логин: root, пароль: changemeplease) и открытая регистрация пользователей через API, позволяющая получить полный доступ к системе.
С помощью платформы HuntSQL исследователи идентифицировали действующую инфраструктуру ERMAC:
- 4 активных C2-сервера (выявлены по уникальной куке ermac_session);
- 5 серверов эксфильтрации (обнаружены через заголовок аутентификации «LOGIN | ERMAC»);
- 3 публичных управляющих панели (поиск по заголовку страницы «ERMAC 3.0 PANEL»), включая IP 43[.]160[.]253[.]145 и 91[.]92[.]46[.]12;
- Сборщики на базе шаблона «ERMAC 3.0 BUILDER».
Рекомендации для защиты
Для противодействия ERMAC эксперты советуют комбинировать технические и оперативные меры. Ключевая тактика трояна - инъекции фишинговых форм через WebView - блокируется включением флага FLAG_SECURE в Android-приложениях и детектированием оверлейных окон. Сетевые защитники могут использовать SQL-запросы Hunt.io для выявления C2-серверов и блокировки трафика на уровне брандмауэров.
Дополнительные стратегии включают мониторинг сетевых сигнатур ERMAC (например, статичный nonce или заголовки панелей), анализ APK-файлов через YARA-правила и сотрудничество с хостинг-провайдерами для превентивного удаления серверов. YARA-правило для детектирования бэкдора ищет пакет com.amazon.zzz в файлах размером до 1 МБ.
Значение исследования
Утечка ERMAC 3.0 - редкий случай доступа к «живой» MaaS-платформе на пике её развития. Она подтверждает растущую специализацию киберпреступного рынка: ERMAC предлагает арендаторам гибкий контроль над целевыми приложениями, ключами шифрования и кампаниями через интуитивный интерфейс. Раскрытые уязвимости позволяют не только нарушать текущие операции, но и отслеживать связи между операторами, что критично для атрибуции атак. По данным Hunt.io, инфраструктура трояна остается активной, а публикация деталей направлена на укрепление коллективной защиты.
Индикаторы компрометации
IPv4 Port Combinations
- 121.127.231.161:8082
- 121.127.231.163:8082
- 121.127.231.198:8082
- 141.164.62.236:80
- 172.191.69.182:8089
- 20.162.226.228:8089
- 206.123.128.81:80
- 43.160.253.145:80
- 43.160.253.145:8080
- 43.160.253.145:8089
- 5.188.33.192:443
- 91.92.46.12:80
- 98.71.173.119:8089
SHA256
- 175d4adc5fc0b0d8eb4b7d93b6f9694e4a3089e4ed4c59a2828d0667a9992aaa
- 8c81cebbaff9c9cdad69257f50af0f5208a0d5923659b4e0c3319333f9e8d545
Yara Rule
1 2 3 4 5 6 7 8 9 10 11 12 13 | rule Ermac_v3 { meta: author = "@huntio" date = "2025-08-09" description = "ERMAC Android Backdoor" version = "1.0" strings: $str0 = "com.amazon.zzz" fullword condition: uint32be(0) == 0x504B0304 and filesize < 1MB and $str0 } |
