News

Ermac 2.0, il malware a noleggio che ruba credenziali e password in pochissimo tempo

Un nuovo malware pericoloso che prende di mira i telefoni Android è stato scoperto dagli esperti di sicurezza informatica.

Nel 2021, i ricercatori hanno scoperto un malware denominato ERMAC che stava attaccando i dispositivi Android.

Ora, gli esperti di sicurezza informatica di ESET hanno scoperto che una nuova versione del trojan bancario, denominata ERMAC 2.0, è attiva e si può anche affittare all’occorrenza.

Il malware prende di mira i dispositivi Android tramite 467 app che rubano le credenziali degli utenti e le informazioni bancarie. ERMAC 2.0 lo fa impersonando app popolari e autentiche, secondo gli esperti di sicurezza informatica.

Cyble Research Labs ha anche scoperto che gli attori delle minacce possono noleggiare il malware per un canone mensile di 5.000 dollari.

ERMAC 1.0, scoperto ufficialmente nell’agosto 2021, utilizzava 378 app e veniva noleggiato per 3.000 al mese.

Abbiamo scoperto che ERMAC 2.0 viene distribuito tramite siti falsi“, ha osservato Cyble Labs in un post sul blog.

Gli esperti hanno aggiunto che EMRAC 2.0 si diffonde anche attraverso falsi siti di aggiornamento del browser.

Come funziona?

Una volta che qualcuno installa ERMAC 2.0 tramite un’app fraudolenta, il malware richiede fino a 43 autorizzazioni dal proprio dispositivo.

Queste autorizzazioni, se concesse, possono consentire ai malintenzionati di assumere il pieno controllo del dispositivo di una vittima.

Altre autorizzazioni possono ottenere l’accesso agli SMS, l’accesso ai contatti, la creazione di finestre di avviso di sistema, la registrazione audio o l’accesso in lettura e scrittura alla memoria completa.

Secondo Tech Radar, alcune autorizzazioni possono anche creare un elenco di app installate sul dispositivo della vittima e condividere tali dati con il server C2 dell’hacker.

Ciò può comportare uno schema di phishing complesso che raccoglie i dati dell’utente ogni volta che tenta di accedere all’app interessata.

Alcune pagine di phishing utilizzate per ingannare le vittime includono applicazioni bancarie come bitbank giapponese, IDBI Bank indiana, Greater Bank australiana e Santander Bank con sede a Boston, per Phone Arena.

Condividi
Pubblicato da
Simone Paciocco