**Filtrado el código fuente de ERMAC v3: análisis exhaustivo del troyano bancario Android y sus riesgos para el sector financiero**

—

### 1. Introducción

A finales de mayo de 2024, la comunidad de ciberseguridad ha sido testigo de un acontecimiento relevante: la filtración pública del código fuente de la versión 3 del troyano bancario ERMAC, una de las amenazas más activas y sofisticadas dirigidas al ecosistema Android. Este suceso compromete no solo la operativa de sus desarrolladores, sino que también abre la puerta a un incremento exponencial en la proliferación de variantes y ataques derivados, afectando directamente a entidades financieras, proveedores de servicios digitales y usuarios finales.

—

### 2. Contexto del Incidente

ERMAC apareció por primera vez en 2021, ganando rápidamente notoriedad en foros clandestinos por su modelo de malware-as-a-service (MaaS), basado en suscripción mensual. Su evolución ha seguido la estela de otros troyanos bancarios para Android, como Cerberus y Hydra, pero ERMAC v3 incorporó mejoras considerables en su arsenal de funcionalidades, como capacidades de overlay, keylogging, interceptación de SMS y robo de credenciales a través de técnicas de phishing avanzado en cientos de aplicaciones bancarias globales.

El leak del código fuente de la versión 3, publicado en un foro underground frecuentado por actores de amenazas, expone no solo el core del malware, sino también scripts de backend, paneles de administración y detalles sobre la infraestructura C2 (Command and Control).

—

### 3. Detalles Técnicos

**CVE y Vectores de Ataque**

Aunque ERMAC v3 no explota vulnerabilidades específicas documentadas (no hay un CVE asociado directamente), su vector principal es la ingeniería social: se distribuye a través de aplicaciones falsas, campañas de smishing y dropper apps en tiendas de terceros. Los permisos solicitados —accesibilidad, SMS, superposición de pantalla— permiten al troyano ejecutar overlays y capturar credenciales en tiempo real.

**Tácticas, Técnicas y Procedimientos (TTPs) – MITRE ATT&CK**

– **T1059.001 (Command and Scripting Interpreter: PowerShell) y T1548.002 (Abuse Elevation Control Mechanism: Bypass User Account Control):** ERMAC abusa de los servicios de accesibilidad para obtener persistencia y control total sobre el dispositivo comprometido.
– **T1071.001 (Application Layer Protocol: Web Protocols):** Comunicación cifrada vía HTTPS con los servidores C2, dificultando la detección mediante inspección de tráfico.
– **T1111 (Two-Factor Authentication Interception):** Capacidad de interceptar códigos OTP a través de SMS y notificaciones push.

**Indicadores de Compromiso (IoC)**

– Hashes de APK maliciosos.
– URLs y dominios de C2 conocidos, con rotación frecuente mediante proxys y dominios desechables.
– Permisos inusuales en aplicaciones recién instaladas, especialmente aquellos relacionados con accesibilidad y lectura de SMS.

**Herramientas y Frameworks**

El leak incluye módulos listos para su integración en frameworks de pruebas de penetración como Metasploit y Cobalt Strike, facilitando la automatización de pruebas de concepto (PoC) y la generación de variantes polimórficas.

—

### 4. Impacto y Riesgos

La exposición del código fuente de ERMAC v3 multiplica el riesgo de aparición de nuevos actores con capacidades técnicas limitadas (script kiddies) y la generación de forks con funcionalidades personalizadas. Según estimaciones de Group-IB, en 2023 los troyanos bancarios móviles fueron responsables de pérdidas económicas superiores a los 100 millones de euros en el entorno EMEA.

El impacto se agrava en sectores regulados, como el bancario y el fintech, donde los requisitos de conformidad con GDPR y la inminente entrada en vigor de NIS2 exigen la notificación de brechas y la protección efectiva de datos personales y financieros.

—

### 5. Medidas de Mitigación y Recomendaciones

– **Actualización de Firmas y YARA Rules:** Integrar los nuevos IoC derivados del leak en soluciones de EDR y antivirus móvil.
– **Restricción de Instalación de Apps:** Limitar la instalación de aplicaciones a tiendas oficiales y habilitar Google Play Protect.
– **Monitorización de Permisos:** Implementar soluciones de MDM que auditen y alerten sobre permisos sospechosos otorgados a apps.
– **Concienciación y Formación:** Instruir a usuarios y empleados sobre phishing y técnicas de ingeniería social.
– **Segmentación de Red y Zero Trust:** Aislar dispositivos móviles dentro de la red corporativa y aplicar políticas de acceso adaptativo.

—

### 6. Opinión de Expertos

Analistas de ThreatFabric y Kaspersky advierten que la liberación del código fuente podría suponer un “cambio estructural” en el panorama del malware móvil, similar al efecto que tuvo la filtración del source de Mirai en 2016. Los expertos recomiendan reforzar los mecanismos de detección proactiva y prepararse para una oleada de variantes y ataques dirigidos, especialmente contra apps financieras de mercados emergentes.

—

### 7. Implicaciones para Empresas y Usuarios

Para las organizaciones, la filtración de ERMAC v3 incrementa la superficie de ataque y obliga a revisar de inmediato las estrategias de defensa móvil, especialmente en entornos BYOD o con flotas de dispositivos Android. Los usuarios, por su parte, se enfrentan a un riesgo mayor de fraude financiero y robo de identidad, acentuando la necesidad de educación digital y buenas prácticas en la gestión de dispositivos móviles.

—

### 8. Conclusiones

La publicación del código fuente de ERMAC v3 supone un punto de inflexión en la evolución del malware bancario para Android. El acceso abierto a sus mecanismos internos facilitará la proliferación de variantes y sofisticará los ataques dirigidos al sector financiero. Es fundamental que CISOs, responsables de TI y analistas SOC refuercen sus capacidades de defensa y respuesta ante incidentes, adaptando sus controles a la nueva realidad impuesta por la democratización del cibercrimen móvil.

(Fuente: www.bleepingcomputer.com)