AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### ERMAC 3.0: Evolución y Debilidades en la Infraestructura de un Troyano Bancario para Android

admin

#### Introducción

El panorama de amenazas móviles sigue evolucionando a un ritmo vertiginoso, especialmente en el ámbito del malware bancario orientado a dispositivos Android. Un reciente análisis realizado por investigadores de Hunt.io ha arrojado luz sobre la nueva versión del troyano bancario ERMAC, identificada como ERMAC 3.0. Esta iteración representa un salto cualitativo en las capacidades de inyección de formularios y robo de datos, pero también revela vulnerabilidades significativas en la infraestructura de los operadores que podrían facilitar la actuación defensiva por parte de los equipos de ciberseguridad.

#### Contexto del Incidente o Vulnerabilidad

ERMAC es un troyano bancario modular que ha estado circulando desde 2021 y cuyo código se inspira en proyectos previos como Cerberus y Hydra. Su principal vector de ataque radica en la suplantación de aplicaciones legítimas para capturar credenciales y datos sensibles de los usuarios de Android. La versión 3.0, detectada a principios de 2024, ha incrementado notablemente su superficie de ataque, apuntando a más de 700 aplicaciones móviles, incluyendo plataformas bancarias, aplicaciones de comercio electrónico y monederos de criptomonedas.

Esta variante se distribuye principalmente a través de campañas de phishing y tiendas de aplicaciones no oficiales, aprovechando técnicas de ingeniería social para engañar a los usuarios e inducir la instalación de aplicaciones maliciosas.

#### Detalles Técnicos

ERMAC 3.0 se caracteriza por una serie de mejoras técnicas respecto a sus predecesores:

– **Form Injection Extendida:** El malware utiliza técnicas de superposición (overlay attacks) para interceptar y manipular formularios de aplicaciones legítimas. Esto le permite capturar credenciales bancarias, datos de tarjetas y credenciales de acceso a carteras de criptomonedas.
– **Compatibilidad Ampliada:** El listado de aplicaciones objetivo supera las 700, cubriendo entidades bancarias de Europa, América Latina y Asia-Pacífico, así como apps de comercio y exchanges de criptomonedas.
– **Persistencia y Evasión:** ERMAC 3.0 emplea mecanismos para solicitar permisos de accesibilidad, dificultando su desinstalación y facilitando la realización de acciones automatizadas sin interacción del usuario.
– **Comando y Control (C2):** La comunicación con los servidores C2 se realiza mediante HTTP(S) cifrado, si bien los investigadores han identificado deficiencias en la autenticación y protección del canal, exponiendo potencialmente los datos exfiltrados.
– **TTP MITRE ATT&CK:** El malware encaja dentro de técnicas como T1055 (Process Injection), T1071.001 (Application Layer Protocol: Web Protocols) y T1204 (User Execution: Malicious App).
– **Indicadores de Compromiso (IoC):** Se han identificado hashes SHA256 asociados a las APK maliciosas, direcciones IP de C2 y nombres de paquetes de aplicaciones fraudulentas.

Cabe destacar que, a pesar de estas mejoras técnicas, los analistas han detectado importantes fallos en la infraestructura de backend de los operadores, incluyendo la exposición de interfaces de administración y bases de datos sin la debida protección, lo que podría facilitar la interrupción de las campañas o la identificación de los atacantes.

#### Impacto y Riesgos

El alcance de ERMAC 3.0 es considerable. Con una compatibilidad ampliada y una facilidad de distribución por canales alternativos, se estima que más de 300.000 dispositivos Android podrían estar actualmente expuestos a campañas activas. El riesgo principal radica en el robo de credenciales bancarias, información de tarjetas y claves privadas de criptomonedas, lo que puede traducirse en pérdidas económicas directas, fraudes y vulneraciones de datos personales.

Desde el punto de vista normativo, incidentes de esta naturaleza pueden conllevar sanciones significativas para las entidades afectadas, especialmente bajo el marco del GDPR y la inminente entrada en vigor de la directiva europea NIS2, que refuerza las obligaciones de reporte y gestión de incidentes.

#### Medidas de Mitigación y Recomendaciones

Para mitigar los riesgos asociados a ERMAC 3.0, los equipos de ciberseguridad deben considerar las siguientes acciones:

– **Implementación de soluciones EDR/MDM** en dispositivos corporativos para la monitorización y respuesta ante comportamientos anómalos.
– **Educación y concienciación de usuarios** sobre los peligros de instalar aplicaciones fuera de los marketplaces oficiales y de conceder permisos de accesibilidad innecesarios.
– **Monitorización de IoC** y actualización periódica de reglas de detección en sistemas SIEM y soluciones anti-malware.
– **Colaboración con CERTs y organismos reguladores**, garantizando el cumplimiento de las obligaciones de notificación de incidentes conforme a GDPR y NIS2.
– **Auditoría continua de aplicaciones móviles** para detectar suplantaciones y prevenir la manipulación de formularios críticos.

#### Opinión de Expertos

Expertos en ingeniería inversa y threat hunting coinciden en que la sofisticación de ERMAC 3.0 representa una amenaza creciente para el ecosistema financiero digital. Sin embargo, subrayan que las debilidades detectadas en la infraestructura C2 de los operadores ofrecen oportunidades únicas para la interrupción de las campañas y la obtención de inteligencia proactiva. Además, alertan sobre la creciente tendencia a la venta de este tipo de malware como servicio (MaaS) en foros clandestinos, lo que podría multiplicar el volumen de ataques en los próximos meses.

#### Implicaciones para Empresas y Usuarios

Las organizaciones financieras y de comercio electrónico deben reforzar sus políticas de seguridad móvil y adoptar una postura de defensa en profundidad orientada a la detección temprana y respuesta inmediata ante aplicaciones fraudulentas. Los usuarios particulares, por su parte, deben extremar la cautela ante solicitudes sospechosas y mantener actualizados sus dispositivos y aplicaciones.

#### Conclusiones

ERMAC 3.0 supone un ejemplo paradigmático de la evolución del malware bancario en Android, combinando sofisticación técnica con errores operativos significativos. La comunidad de ciberseguridad debe aprovechar las debilidades detectadas para neutralizar las campañas activas y fortalecer sus estrategias defensivas, en un contexto regulatorio cada vez más exigente y un entorno de amenazas en expansión.

(Fuente: feeds.feedburner.com)