ERMAC è tra di noi e potrebbe essere un grave problema da affrontare qualora lo incontrassimo. Si tratta di un ennesimo trojan non facile da trattare e che potrebbe metterci in difficoltà in qualunque momento, ragione per la quale crediamo che parlarne possa essere d’aiuto a tutti noi; come agisce? 
ERMAR è conosciuto per essere un trojan bancario per Android, e adesso pare che sia stato aggiornato alla versione 2.0 consentendogli di prendere di mira molte più applicazioni bancarie del solito. Il suo scopo, come è facilmente immaginabile, è quello di rubare le credenziali di accesso a sistemi di home banking o ai wallet di criptovalute.
I dati sottratti vengono inviati alle vittime di minaccia, usandoli per prendere controllo sui conti bancari e sui wallet e commettere frodi finanziarie. Non si tratta di un team solo dietro ad ERMAC; il trojan viene attualmente proposto come servizio ad abbonamento, ad un costo di 5.000 dollari al mese o superiore di 2.000 dollari rispetto al prezzo della prima versione. Ma che cosa hanno scoperto i ricercatori?
Il modus operandi del virus
Gli esperti dell’ESET sono riusciti ad individuare a prima campagna che fa uso di ERMAC 2.0: parliamo di una applicazione fasulla chiamata Bolt Food e destinata al mercato polacco. Questa app è stata distribuita tramite un sito web fasullo, il quale aveva lo scopo preciso di impersonare un servizio lecito di food delivery europeo.
E per riuscire a portare gli utenti su questa piattaforma, gli hacker hanno pensatp bene di sfruttare le tecniche di phishing, malvertising, post sui social e così via. Dunque, una volta che l’app viene scaricata sul dispositivo, l’utente riceve una richiesta di autorizzazione per il controllo completo. Se viene concesso l’accesso al servizio di accessibilità, l’applicazione può mostrare gli overlay che inducono la vittima ad inserire le proprie credenziali in moduli che appaiono successivamente, ma che sono, in realtà, solamente delle copie dell’interfaccia dell’applicazione bancaria.
E se i permessi in seguito vengono concessi, il malware può accedere agli SMS e ai contatti, creare finestre di avviso, registrare audio ed entrare in lettura e scrittura alla memoria. ERMAC, inoltre, determina anche quali applicazioni sono state installate sul dispositivo compromesso, inviando le informazioni al server command&control che risponde con i moduli di injection per le applicazioni segnalate dal malware; sarebbe un bene starne alla larga il più possibile.