Si chiama ERMAC il nuovo trojan bancario per Android che rappresenta una seria minaccia per gli utenti del banking mobile e le istituzioni bancarie di tutto il mondo: il malware, infatti, è specializzato nel furto di credenziali di accesso e dati finanziari nascondendosi dietro versioni malevoli delle app bancarie, tra cui anche le italiane Unicredit, La mia banca, Credem, BNL, Carige, UBI Banca, ING Italia e altre (qui l’elenco completo).
Al momento, sarebbero 378 le applicazioni e i wallet di criptovalute utilizzati da ERMAC per diffondersi sui dispositivi delle ignare vittime.
In realtà, nelle prime campagne di diffusione isolate alla fine dello scorso mese di agosto, il trojan bancario ERMAC si nascondeva sotto le sembianze dell’app Google Chrome. Dopodiché, il numero di attacchi è aumentato e il malware ha iniziato a diffondersi sfruttando finte versioni di applicazioni bancarie, lettori multimediali, applicazioni governative e soluzioni antivirus come McAfee.
Dagli ultimi campioni isolati dai ricercatori di ThreatFabric, sembra però che ERMAC sia ormai “specializzato” nello sfruttamento di app bancarie.
Indice degli argomenti
ERMAC: i dettagli del malware
Secondo i ricercatori di sicurezza, la prima apparizione di ERMAC può essere fatta risalire allo scorso 23 luglio, quando in un forum underground è apparso un post che descriveva un nuovo trojan bancario per Android.
Il successivo 17 agosto, sullo stesso forum sono comparsi alcuni messaggi firmati dall’utente DukeEugene (ritenuto dai ricercatori come l’attore criminale dietro la campagna BlackRock, che sembrerebbe essere al momento inattiva) che proponeva di “affittare una nuova botnet Android con ampie funzionalità ad una stretta cerchia di persone” per 3.000 dollari al mese.
BlackRock, lo ricordiamo, è stato identificato nel luglio 2020 e si è subito fatto notare per le sue avanzate capacità di furto di dati: d’altronde, i moduli di infostealer e keylogger provengono da un altro ceppo di malware bancario, Xerxes, che a sua volta ha le sue radici nel trojan per Android LokiBot, il cui codice sorgente è stato reso pubblico dal suo autore a maggio del 2019.
Le tracce di Cerberus nel malware ERMAC
L’analisi dei campioni di ERMAC ha invece confermato che il codice del nuovo malware è completamente basato su quello del noto trojan bancario ad accesso remoto (RAT) Cerberus, il cui codice sorgente è stato rilasciato pubblicamente nel mese di settembre del 2020 e famoso anche perché consentiva di bypassare il sistema di autenticazione a due fattori (2FA).
I collegamenti tra il codice sorgente di ERMAC e quello di Cerberus sono stati identificati sia nell’uso delle stesse tecniche di offuscamento sia nello schema di crittografia Blowfish utilizzato per comunicare con il server di comando e controllo gestito dagli attori della minaccia.
Cerberus, il malware bancario per Android ora disponibile gratis nei forum underground
Analogamente a Cerberus, inoltre, anche ERMAC utilizza la tecnica di attacco overlay (o attacco di sovrapposizione) che, appunto, consiste nell’uso di trojan che si insinuano attraverso applicazioni apparentemente legittime e scaricate da un sito compromesso oppure distribuite aggirando i controlli di sicurezza dello stesso Play Store.
A quel punto, l’applicazione malevola va a “sovrapporsi” a quella legittima riuscendo così a carpire all’ignara vittima eventuali dati inseriti come password, codici e PIN e successivamente inoltrarli verso una centrale di comando remota e presidiata.
In particolare, ERMAC così come Cerberus e altri malware bancari simili è progettato per rubare informazioni di contatto, messaggi di testo, aprire applicazioni arbitrarie e innescare altri attacchi overlay contro una moltitudine di applicazioni finanziarie per rubare le credenziali di accesso delle vittime.
Inoltre, il nuovo trojan bancario per Android ha sviluppato nuove caratteristiche che permettono al software maligno di cancellare la cache di una specifica applicazione e rubare gli account memorizzati sul dispositivo.
Attacco overlay, serio problema di sicurezza per Android: come funziona e quali contromisure
Come mitigare il rischio
La comparsa sulla scena del cyber crimine del nuovo trojan bancario ERMAC è occasione utile per ricordare a tutti l’importanza di garantire la sicurezza di Android, in particolare nel settore bancario, adottando alcune semplici regole di base:
- scaricare e installare applicazioni solo da app store ufficiali come Google Play per i dispositivi Android o nell’App Store per iOS;
- disattivare l’installazione di programmi da fonti sconosciute nelle impostazioni dello smartphone;
- non eseguire mai il “root” dei dispositivi poiché offre ai criminali informatici numerose possibilità di attacco;
- installare tempestivamente gli aggiornamenti del sistema e delle applicazioni per correggere le vulnerabilità di sicurezza. Non scaricare gli aggiornamenti del sistema operativo mobile da risorse esterne;
- proteggere i dati finanziari e le informazioni personali utilizzando una soluzione di sicurezza affidabile o di Mobile Device Management;
- verificare la legittimità delle app bancarie utilizzate, rapportandosi con i relativi servizi clienti;