Purtroppo ERMAC non ha abbandonato in via definitiva il web: è fra di noi ancora una volta per incutere timore e far capire a tutti quanto sia pericoloso. Questa situazione non è facilmente affrontabile per via del fatto che non solo il virus informatico si possa diffondere velocemente, ma che – leggete attentamente quello che stiamo per dirvi – sia in grado di espandersi in maniera rapida poiché tutti possano farne uso a seguito di un acquisto ovviamente illecito. Ma quanto costa un “prodotto” del genere, e come possiamo difenderci da lui?
ERMAC è tornato, e per chi non sapesse non si tratta assolutamente di nulla di buono: parliamo di un virus informatico conosciuto per essere un trojan bancario per Android, e ora pare che sia stato aggiornato alla versione 2.0 consentendogli di prendere di mira molte più applicazioni bancarie del solito. Il suo obiettivo, come possiamo intuire, è proprio quello di ottenere le credenziali di accesso a sistemi di home banking o ai wallet di criptovalute.
Le info, in seguito, vengono inviate alle vittime di minaccia, utilizzandoli per acquisire controllo sui conti bancari e sui wallet e commettere frodi finanziarie. Non si tratta di un team solo dietro ad ERMAC, infatti il trojan viene proposto come servizio ad abbonamento ad un costo di 5.000 dollari al mese, o superiore di 2.000 dollari rispetto al prezzo della prima versione, a tutti coloro che vorrebbero provarlo. Ciò cosa significa? Esatto: siamo tutti esposti a questo problema, e a confermarlo sono anche dei ricercatori informatici.
Il funzionamento dei virus durante le sue esecuzioni
Gli esperti dell’ESET hanno avuto modo di individuare la prima azienda che fa uso di ERMAC 2.0. Si tratta, guarda caso, di una applicazione fasulla chiamata Bolt Food e destinata al mercato polacco. Questa app è stata distribuita attraverso un sito web ovviamente non vero, il quale aveva l’obiettivo preciso di impersonare un servizio lecito di food delivery europeo.
Tuttavia, per riuscire a portare gli utenti su questa piattaforma con successo, è stato necessario che gli hacker pensassero bene a come sfruttare le tecniche di phishing, malvertising, post sui social e così via. Comunque, una volta che viene scaricata sullo smartphone, l’utente riceve una richiesta di autorizzazione per il controllo completo. Se viene concesso il permesso al servizio di accessibilità, l’applicazione può mostrare gli overlay che inducono la vittima ad inserire le proprie credenziali in moduli che appaiono successivamente, ma che sono, in realtà, solamente delle copie dell’interfaccia dell’applicazione bancaria.
E se tutti gli accessi vengono concessi come sperano che accada i cybercriminali, il malware può accedere agli SMS e ai contatti, creare finestre di avviso, registrare audio ed entrare in lettura e scrittura alla memoria. ERMAC, come se non bastasse, determina anche quali applicazioni sono state installate sul dispositivo compromesso, inviando le informazioni al server command&control che risponde con i moduli di injection per i software segnalate dal malware.
