Il virus informatico ERMAC non è morto, anzi, pare che sia tornato ancora più pericoloso di prima. La sua versione aggiornata gli dà la possibilità di portare a termine alcuni obiettivi che, prima, non riusciva a completare per via del fatto che non fosse molto efficiente. Adesso, dopo aver ricevuto l’update necessario, crediamo che abbia raggiunto un nuovo grado di pericolosità non meglio indifferente. Ma come potremmo proteggerci da lui in caso lo incontrassimo?
Prima di parlare di come agisca, sarebbe meglio che facessimo un recap generale di quello che sia ERMAC, e anche di come sia nato e che cosa rappresenti nel web. Questo virus informatico è conosciuto per essere un trojan bancario per Android, e adesso sembra che sia stato aggiornato alla versione 2.0 permettendogli di prendere di mira molte più applicazioni bancarie del solito. Il suo scopo, come è facilmente immaginabile, è quello di rubare le credenziali di accesso a sistemi di home banking o ai wallet di criptovalute.
I dati sottratti vengono inviati alle vittime di minaccia, utilizzandoli per acquisire controllo sui conti bancari e sui wallet e commettere frodi finanziarie. Non si tratta di un team solo dietro ad ERMAC; il trojan viene attualmente proposto come servizio ad abbonamento, ad un costo di 5.000 dollari al mese o superiore di 2.000 dollari rispetto al prezzo della prima versione. Ma che cosa hanno scoperto i ricercatori su di lui? Le informazioni che hanno raccolto sono estremamente preziose: guardiamole.
Le operazioni eseguite da ERMAC e in che modo evitarlo
Gli esperti dell’ESET sono riusciti ad individuare la prima compagnia che fa uso di ERMAC 2.0: parliamo di una applicazione fasulla chiamata Bolt Food e destinata al mercato polacco. Questa app è stata distribuita tramite un sito web fasullo, il quale aveva l’obiettivo preciso di impersonare un servizio lecito di food delivery europeo.
E per riuscire a portare gli utenti su questa piattaforma, gli hacker hanno pensato bene di sfruttare le tecniche di phishing, malvertising, post sui social e così via. Dunque, una volta che viene scaricata sullo smartphone, l’utente riceve una richiesta di autorizzazione per il controllo completo. Se viene concessa l’autorizzazione al servizio di accessibilità, l’applicazione può mostrare gli overlay che inducono la vittima ad inserire le proprie credenziali in moduli che appaiono successivamente, ma che sono, in realtà, solamente delle copie dell’interfaccia dell’applicazione bancaria.
E se i permessi in seguito vengono concessi, il malware può accedere agli SMS e ai contatti, creare finestre di avviso, registrare audio ed entrare in lettura e scrittura alla memoria. ERMAC, come se non bastasse, determina anche quali applicazioni sono state installate sul dispositivo compromesso, inviando le informazioni al server command&control che risponde con i moduli di injection per le applicazioni segnalate dal malware; sarebbe un bene stare molto attenti in questi giorni.