Een nieuwe publicatie onthult dat de broncode en beheersystemen van de Android banktrojan ERMAC 3.0 open op internet stonden. Onderzoekers konden de volledige infrastructuur inzien, van een PHP Laravel backend en een React bedieningspaneel tot een Golang server voor datadiefstal en een Android builder waarmee campagnes op maat worden gemaakt. De nieuwste versie richt zich op meer dan zevenhonderd bank-, winkel- en cryptotoepassingen en communiceert versleuteld met AES CBC. In het lek troffen onderzoekers ook elementaire fouten aan zoals een hardcoded JWT secret, een statisch admin token, standaard root inloggegevens en open registratie voor beheerders, allemaal aanknopingspunten om actuele campagnes te verstoren.
ERMAC is geen nieuwkomer. De familie werd in 2021 beschreven als een evolutie van Cerberus en BlackRock en staat bekend om overlay aanvallen waarbij een valse inloglaag over de echte app schuift. Gebruikers typen nietsvermoedend hun gegevens in en verliezen zo toegang tot rekening of wallet. De code van ERMAC werd hergebruikt in latere varianten. Het onderzoek van NCC Group laat zien dat Hook voortbouwt op dezelfde basis en alle dertig ERMAC commando’s bevat, uitgebreid met extra besturingsopties zoals schermstreaming en cookie diefstal waardoor een aanvaller een toestel vrijwel volledig kan bedienen. Dat onderstreept hoe lekken en code sharing de levensduur van mobiele bankmalware verlengen. NCC Group
Suriname digitaliseert snel. Burgerdiensten, banken, betaalapps en webshops draaien massaal op Android. ERMAC 3.0 en zijn afgeleiden gebruiken vooral toegangsrechten voor toegankelijkheid en overlay technieken. Dat werkt ook tegen legitieme apps in kleine markten. Voor criminelen is landgrootte geen rem, zolang slachtoffers met de juiste apps zijn te vinden.
Het Surinaamse cybersecurity bedrijf Avigdor pleit voor beveiliging op twee fronten in de omgeving en in de app. Verplicht in device-beheer het blokkeren van sideloading, dwing Play Protect en zachte root detectie af en waarschuw bij het activeren van Toegankelijkheid voor niet-vertrouwde apps. Integreer in bank- en betaalapps bescherming tegen overlays en schermcaptatie, detecteer misbruik van Toegankelijkheid en koppel verdachte toestellen aan hogere verificatie zoals out-of-band bevestiging en transactiesigning per toestel in plaats van sms codes. Voeg certificaat pinning toe, gebruik de Play Integrity API en beperk het uitlezen van notificaties en sms. Monitor in het SOC op patronen die passen bij ERMAC en Hook, zoals massale overlay updates, ongewone Accessibility events en verkeer naar bij ERMAC bekende panelpatronen uit het gelekte onderzoek. De publicatie noemt concreet de open directory en componenten van de C2 structuur, bruikbaar als indicatoren om verkeer te blokkeren en campagnes te volgen.
Installeer apps alleen via Google Play, houd Android en apps bij, schakel toegankelijkheid uit voor apps die het niet nodig hebben, let op onverwachte inlogschermen en meld direct verdachte transacties. Overlay phishing oogt overtuigend, maar een bank zal niet om volledige kaartgegevens of seed phrases vragen.
De lekken rond ERMAC 3.0 bieden verdedigingskansen die zelden zo concreet zijn. Door beleid en techniek te koppelen kan Suriname de aanvalsketen breken. Avigdor helpt banken, verzekeringsmaatschappijen en overheden om de gelekte indicatoren te operationaliseren indien moet en mobiele apps te hardenen, monitoring en aan te scherpen zodat criminelen geen vrij spel hebben en gebruikers veilig mobiel kunnen blijven bankieren, dit kan ook geanalyseerd worden door de SOC van Avigdor.
