En scannant Internet à la recherche de serveurs mal configurés, les chercheurs de Hunt.io ont découvert un dossier accessible publiquement, sans mot de passe ni restriction, contenant le code source d’ERMAC. Apparu 2021, le logiciel malveillant est conçu pour prendre d’assaut les smartphones Android.
Une fois implanté sur le téléphone, le virus, dont le code est largement basé sur le malware Cerberus, va voler les identifiants bancaires, les mots de passe, et les données personnelles de la victime. Pour arriver à ses fins, il affiche généralement de fausses pages de connexion au-dessus de l’application d’une banque. Au terme de l’attaque, les hackers se servent des données volées pour siphonner le compte bancaire de la cible. Le virus était proposé aux pirates en herbe par le biais d’un abonnement de type « Malware-as-a-Service » (MaaS). En payant un forfait mensuel, n’importe quel pirate pouvait se servir du virus pour faciliter ses activités et gagner de l’argent.
À lire aussi : « Fuite massive PayPal » ? 15,8 millions de mots de passe auraient été piratés
700 apps Android dans le viseur d’ERMAC
Sur le serveur, les experts ont mis la main sur l’intégralité du code source de la troisième version d’ERMAC. Une archive, sobrement intitulée Ermac 3.0.zip, renfermait tout le code permettant de faire fonctionner l’infrastructure du malware.
Comme l’ont découvert les chercheurs en fouillant dans le code, la troisième version d’Ermac est conçue pour dérober les données de plus de 700 applications différentes, dont de nombreux apps bancaires. Depuis ses débuts, le malware a considérablement élargi son nombre de cibles potentielles. La première itération ne visait en effet que 378 applications.
L’arsenal de fonctionnalités d’ERMAC est également plus complet qu’à sa création. Selon les investigations menées par Hunt.io, le malware est capable de voler les SMS, les contacts et les identifiants de comptes enregistrés, de lire les mails sur Gmail, de télécharger des fichiers, d’envoyer des SMS et détourner des appels, de prendre des photos avec la caméra, de contrôler les applications, d’afficher de fausses notifications, et même de s’effacer à distance pour ne pas être détecté. Bref, c’est un logiciel malveillant redoutable.
À lire aussi : Cyberespionnage en cours sur Android – le malware LunaSpy veut piller toutes les données de votre smartphone
Un coup dur pour les cybercriminels
La fuite du code source d’ERMAC est une belle victoire des chercheurs sur les cybercriminels. Avec le code du malware en leur possession, les experts de la cybersécurité vont pouvoir améliorer et affiner leurs outils de détection et les antivirus. De facto, il est plus probable que les attaques reposant sur ERMAC sont promptement détectées et bloquées. Comme l’explique le rapport de Hunt.io, « notre analyse de la fuite d’ERMAC V3.0 a mis en évidence des détails techniques, des failles opérationnelles et une infrastructure encore active, que les défenseurs peuvent exploiter pour perturber les campagnes en cours ».
Par ailleurs, la fuite contribue à éloigner les pirates du malware. Redoutant que leurs informations tombent entre les mains des chercheurs et des autorités, les cybercriminels pourraient renoncer à se servir du virus. Les bénéfices engrangés par l’abonnement à ERMAC sont susceptibles de se tarir…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Hunt.io
