Yeni raporlar, yakın zamanda ERMAC 2.0 sürümüne ışık tutan Cyble & ESET adlı siber güvenlik firmalarına ait araştırmacıların izniyle geliyor. İkincisinin karanlık ağda reklamının yapıldığı görüldü ve fiyatlar dikti.

Eski sürümü karşılaştırdığınızda, bir zamanlar ayda 3000 ABD Doları olarak görülen, 5000 ABD Dolarına kadar çıkan aylık abonelik satırlarını düşünün.

Ve bu yeni fiyat etiketinin enflasyonla bir ilgisi olduğunu varsayıyor olsanız da, size bazı haberlerimiz var. Aslında sunulan özelliklerin sayısı ile ilgilidir ve bu, oturum açma kimlik bilgileri gibi hassas kullanıcı ayrıntılarını ve 467'den fazla uygulamaya ilişkin bir dizi diğer hassas bilgiyi avlamayı içerir. Daha önce, bu sayı sadece 378'di ve zamanla artıyor - birçok kişinin fark ettiği başka bir tehlikeli ve endişe verici durum.

Ancak bir kullanıcı böyle bir uygulamayı yüklediğinde tam olarak ne olur? Yeni başlayanlar için, kötü şöhretli kötü amaçlı yazılım, erişilebilirlik elde etmek için izninizi isteyecektir. Ve ona bir kullanıcının cihazı üzerinde tam kontrol sağlayan şey budur.

Ortalama olarak, araştırmacılar truva atının SMS erişimi, bir kullanıcının kişileri üzerinde kontrol, sistem uyarıları oluşturma, ses kaydı, yazma erişimi ve ayrıca bir cihazın deposuna tam erişim gibi 43 farklı isteğe nasıl izin verdiğine işaret ediyor.

Bunu başardığında, uygulama bir dizi başka uygulamayı kopyalayabilir ve bu nedenle kullanıcı gerçekte neler olup bittiğinin farkında olmaz. Buna parolaların çalınma kolaylığı da dahildir.

Truva atı, ihtiyaç duyduğu izinle bir kullanıcının cihazını tarar ve gerçekte hangi uygulamaların yüklü olduğunu görür ve ardından bu bilgiler C2 adında başka bir sunucuya iletilir.

Sunucu, HTML biçiminde şifrelenmiş enjeksiyon modülleri biçiminde bir yanıt gönderecektir. Zamanla, truva atı mesajın kodunu çözebilecek ve dosyayı belirli bir başlık veya dosya adı altına yerleştirebilecek.

Cihazın bir kullanıcısı tarafından başka bir uygulama başlatıldığında, bir kimlik avı sayfası açılır ve tüm ayrıntıları toplar.

ERMAC 2.0'ı ilk kez duymuyoruz. Daha önce, bir tehdit aktörünün bir yemek dağıtım uygulamasının kimliğine bürünmeye çalıştığını ve ardından Polonya'daki kullanıcılara yönelik saldırılar başlattığını görmüştük.