ERMAC è un trojan bancario, scoperto ad agosto 2021, che può rubare le credenziali di login da 378 app Android. Il malware veniva offerto in abbonamento sul dark web a 3.000 dollari/mese. I ricercatori di Cyble hanno recentemente scoperto la versione 2.0 che prende di mira 467 app Android. Per accedere all’aggiornamento è necessario pagare 5.000 dollari/mese.
ERMAC 2.0: furto di credenziali da 467 app
ERMAC 2.0 viene distribuito tramite siti simili all’originale. Uno di essi è quello di Bolt Food, un’azienda di food delivery. Il trojan è nascosto nella app Android fasulla pubblicata sul sito. Il malware viene anche distribuito attraverso siti che invitano l’utente ad aggiornare Chrome, cliccando su un pulsante.
La fake app chiede 43 permessi, 12 dei quali sono sfruttati da ERMAC 2.0. Al termine dell’installazione, l’app chiede l’attivazione dei servizi di accessibilità e subito inizia ad inviare l’elenco delle app presenti sullo smartphone al server C2C (command and control). Viene quindi scaricato il modulo che inietta il codice infetto nelle app supportate.
Il trojan scarica successivamente una pagina di phishing che viene mostrata sullo schermo, quando l’utente apre una delle app legittime. Le credenziali di login inserite nella pagina finiscono ovviamente nelle mani dei cybercriminali. ERMAC 2.0 può visualizzare le pagine di login di numerose app bancarie e crypto wallet.
È possibile prevenire l’infezione seguendo una serie di consigli: scaricare solo app dal Google Play Store, usare password robuste e l’autenticazione multi-fattore, prestare attenzione ai link ricevuti via email o SMS, diffidare di app che chiedono troppi permessi e installare una soluzione di sicurezza completa, come McAfee Total Protection.