ERMAC Android Banking Trojan’unu Tanıma
ERMAC, ilk olarak Eylül 2021’de ThreatFabric tarafından belgelenmiş bir Android bankacılık Trojan’ıdır. Bu yazılım, dolandırıcılık faaliyetleri için kullanılan bir malware-as-a-service (MaaS) platformunun bir parçasıdır. İlk versiyonu BlackRock adı verilen bir tehdit aktörü tarafından geliştirilmiştir. Başlangıçta Cerberus bankacılık Trojan’ının evrimi olarak tanımlanmıştır.
h2>ERMAC v2.0 ve Gelişimi
ERMAC v2.0, Mayıs 2022’de ESET tarafından tespit edilmiştir. Bu versiyon, cybercriminals için aylık 5000 dolarlık bir ücret karşılığında kiralanmıştır ve 378 uygulama hedef alınırken, bu sayı 467’ye çıkmıştır. Zamanla, ERMAC daha fazla uygulama hedefleyerek evrilmiştir. Bu süreç içinde, kullanıcı verilerini etkili bir şekilde hedef alma yetenekleri gelişmiştir.
ERMAC v3.0 Kaynağının Sızması
Mart 2024’te, Hunt.io araştırmacıları, ERMAC’ın PHP komut ve kontrol (C2) arka uç kodunu, React ön yüz panellini, Go tabanlı verilerin dışa aktarım sunucusunu ve Kotlin arka kapısını keşfetmiştir. ERMAC v3.0 sürümünün kod tabanı, önceki versiyonlardan çok daha fazla hedefe ulaşma yeteneğine sahip olup 700’den fazla bankacılık, alışveriş ve kripto para uygulamasını hedef almakta.
ERMAC v3.0‘ın sunduğu yetenekler arasında, kullanıcıların kişisel verilerini hedef almak ve toplamak bulunmaktadır. Araştırmalar, ERMAC’ın şu yetenekleri barındırdığını göstermektedir:
- SMS, kişiler ve kayıtlı hesapların çalınması
- Gmail konuları ve mesajlarının çıkarılması
- ‘Listele’ ve ‘indir’ komutlarıyla dosya erişimi
- İletişim suistimali için SMS gönderme ve arama yönlendirme
- Ön kameradan fotoğraf çekimi
- Uygulama yönetimi (başlatma, kaldırma, ön belleği temizleme)
- Aldatıcı sahte bildirimler gösterme
- Uzaktan kaldırma (killme) ile kaçma girişimleri
ERMAC Operatörlerinin Altyapısı
Hunt.io analizcileri, ERMAC operatörlerinin kullandığı açık altyapıyı tespit etti. C2 son noktaları, paneller, dışa aktarım sunucuları ve yapılandırma dağıtımları gibi bileşenleri incelemek için SQL sorgularını kullandılar. Çeşitli opsec hataları, kalıtılmış JWT token’ları, varsayılan root kimlik bilgileri ve admin panelinde kayıt koruma olmaması gibi zayıflıklar keşfedildi. Bu durum, ERMAC panellerine ulaşımı, manipülasyonu ve kesintiye uğratmayı kolaylaştırmıştır.
ERMAC v3.0’nın Güvenlik Açıkları
ERMAC v3.0’ın kaynak kodu sızması, dolandırıcılık operasyonlarını zayıflatma potansiyeline sahiptir. Müşteri güvenini azaltmakta, MaaS (malware-as-a-service) platformlarından elde edilen güvenilirliği zayıflatmaktadır. Ancak, kaynak kodunun başka tehdit aktörlerinin eline geçmesi durumunda, değişiklik yapılmış ERMAC varyantlarının ortaya çıkma riski bulunmaktadır. Bu durum, daha zorlu tespit yöntemleriyle karşılaşmamıza neden olabilir.
Sonuç olarak, ERMAC ve benzeri tehditler, siber güvenlik alanında her zaman bir tehdit unsuru olarak var olmaya devam edecektir. Çeşitlenen ve daha etkili hale gelen bu tür yazılımlar, özellikle de kişisel verilerin korunması açısından kullanıcıları endişelendiriyor. Gelişen teknoloji ve siber güvenlik çözümlerinin ise bu tehditlere karşı sürekli olarak yenilenmesi gerekmektedir. Böylece hem bireysel kullanıcılar hem de finansal kurumlar, siber dolandırıcılığa karşı mevcut durumda daha dayanıklı hale gelebilirler.
Siber güvenlik konusundaki gelişmeleri takip etmek ve alınacak önlemleri gözden geçirmek, bu tür tehditler karşısında etkili bir savunma mekanizması oluşturulmasına yardımcı olacaktır. Gelecekte, ERMAC gibi yazılımların daha sıkı kontrol ve denetlenmesine ihtiyaç duyulması muhtemeldir.
