ERMAC 安卓银行木马 3.0 版本的源代码已在网上泄露，这使得该恶意软件即服务平台的内部机制以及运营者的基础设施被迫曝光。

2024 年 3 月，Hunt.io 的研究人员在扫描暴露的资源时，于一个开放目录中发现了这一代码库。

他们找到了一个名为 "Ermac 3.0.zip" 的压缩包，其中包含该恶意软件的代码，涵盖后端、前端、数据窃取服务器、部署配置，以及木马的生成器和混淆器。研究人员对代码进行分析后发现，与之前的版本相比，其目标攻击能力大幅提升，可针对超过 700 个银行、商城及加密货币相关应用。

ERMAC 最早于 2021 年 9 月由 ThreatFabric（一家为金融服务领域提供在线支付欺诈解决方案及情报的供应商）记录在案。它是 Cerberus 银行木马的升级版，由名为 "BlackRock" 的威胁者操控。

2022 年 5 月，ESET 发现了 ERMAC 2.0 版本，该版本以每月 5000 美元的费用租给网络犯罪分子，当时可攻击 467 个应用，较上一版本的 378 个有所增加。

2023 年 1 月，ThreatFabric 观察到 BlackRock 在推广一款名为 Hook 的新型安卓恶意软件工具，该工具似乎是 ERMAC 的进一步演进版本。

ERMAC 3.0 的功能

Hunt.io 发现并分析了 ERMAC 的 PHP 命令与控制（C2）后端、React 前端面板、基于 Go 语言的数据窃取服务器、Kotlin 后门，以及用于生成定制化木马化 APK 的生成器面板。

研究人员表示，ERMAC 3.0 目前可针对超过 700 个应用中的用户敏感信息。

ERMAC 的一个表单注入

此外，这个最新版本在以往记录的表单注入技术基础上进行了拓展，采用 AES-CBC 进行加密通信，对运营者面板进行了全面改造，并增强了数据窃取和设备控制能力。

具体而言，Hunt.io 已记录了 ERMAC 最新版本的以下功能：

·窃取短信、联系人及已注册账户信息

·提取 Gmail 邮件主题及内容

·通过 " 列表 " 和 " 下载 " 命令访问文件

·发送短信及呼叫转移，滥用通信功能

·通过前置摄像头拍摄照片

·全面的应用管理（启动、卸载、清除缓存）

·显示虚假推送通知以实施欺骗

·远程卸载（killme）以实现规避

基础设施暴露

Hunt.io 的分析师通过 SQL 查询识别出威胁者当前正在使用的、处于暴露状态的活跃基础设施，包括 C2 端点、面板、数据窃取服务器及生成器部署。

暴露的 ERMAC C2 服务器  

除了泄露恶意软件的源代码外，ERMAC 的运营者还存在其他几处严重的操作安全失误，例如硬编码的 JWT 令牌、默认的 root 凭据，以及管理面板缺乏注册保护，这使得任何人都能访问、操纵或破坏 ERMAC 的相关面板。

最后，面板名称、标题、包名以及其他各种操作痕迹，无疑为溯源提供了依据，也让基础设施的发现和映射工作变得容易许多。

访问 ERMAC 面板

ERMAC 3.0 源代码的泄露削弱了该恶意软件的运营——首先，它削弱了客户对这一恶意软件即服务平台的信任，客户会怀疑其能否保护信息不被执法部门获取，或是能否在低检测风险下开展攻击活动。

威胁检测解决方案也可能会在识别 ERMAC 方面变得更加高效。然而，如果源代码落入其他威胁者手中，未来有可能会出现更难检测的 ERMAC 修改变体。