Une touche sensationnelle secoue le panorama de la sécurité mobile, le code source d’Ermac 3.0, l’un des chevaux de Troie bancaires les plus sophistiqués en circulation pour Android, a divulgué en ligne d’une manière complètement inattendue. L’évasion des nouvelles révèle non seulement la complexité de l’infrastructure utilisée par les cybercriminels, mais apporte des implications contrastées: d’une part une victoire pour les chercheurs en sécurité, d’autre part un risque potentiel si le code doit être réutilisé par d’autres groupes pour développer de nouvelles variantes encore plus insidieuses.
Qu’est-ce que Ermac et pourquoi c’est effrayant
ERMAC n’est pas un malware, basé sur les fondements de chevaux de Troie historiques tels que Cerberus et Hook, représente une évolution particulièrement dangereuse, capable de frapper plus de 700 applications Android entre les services bancaires, les applications d’achat et les plateformes de crypto-monnaie.
Ses techniques sont sophistiquées, ERMAC peut créer des schémas de faux connexions superposées aux applications légitimes pour voler des informations d’identification, intercepter les SMS et les appels, lire les messages Gmail, accéder aux contacts enregistrés et même utiliser la caméra avant pour prendre des photos à l’intermédiaire de l’utilisateur; Un arsenal complet qui en fait l’une des menaces les plus redoutées de l’écosystème Android.
La découverte a été faite par les chercheurs de Hunt.ioqui ont identifié le package complet des logiciels malveillants dans un répertoire non protégé, il n’y a donc pas seulement des paroles de fragments de code, mais de toute l’infrastructure: backndend du Panneau de configuration frontal, serveur d’exfiltration de données et outils de personnalisation pour créer des attaques sur mesure.
Comme si cela ne suffisait pas, le panneau d’administration du serveur n’était pas protégé par mot de passe et à l’intérieur du code, il y avait des informations d’identification codées en dur et des jetons statiques, des éléments qui fournissent en fait aux défenseurs une carte détaillée des faiblesses de l’opération criminelle.
L’évasion des nouvelles représente sans aucun doute un coup très dur pour ceux qui gèrent Ermac, les groupes qui ont payé des milliers de dollars par mois pour accéder aux logiciels malveillants sont maintenant avec un projet exposé au public, sapant la confiance et la crédibilité.
D’un autre côté, cependant, la publication du code source ouvre la voie à un scénario opposé, les nouveaux criminels pourraient l’utiliser pour créer des variantes modifiées, peut-être plus difficiles à détecter par antivirus et systèmes de protection; Il s’agit de l’exemple classique de la lame à double édition, dans laquelle une erreur apparemment triviale (laissant un répertoire sans protection adéquate) peut radicalement modifier l’équilibre de la sécurité informatique.
Bien que l’évasion concerne principalement la communauté des développeurs et des chercheurs en sécurité, les conséquences incombent également indirectement aux utilisateurs finaux; Les logiciels malveillants en tant qu’Ermac sont diffusés via des applications malveillantes téléchargées à partir de magasins non officiels, de liens trompeurs ou de campagnes de phishing. Le conseil reste toujours de télécharger les applications uniquement à partir du Google Play Store, de garder Play Protect Active, de mettre à jour régulièrement l’appareil et, si possible, d’utiliser une solution antivirus mobile pour un nouveau niveau de protection.
L’histoire de ERMAC 3.0 montre à nouveau à quel point l’équilibre entre la cybercriminalité et la défense peut être fragile, une seule erreur des criminels a permis de démasquer l’une des menaces Android les plus avancées, mais en même temps, la disponibilité publique du code pourrait nourrir une nouvelle vague de variantes.
Les utilisateurs d’Android ne doivent pas paniquer, mais pas même abaisser leur garde: l’attention aux applications installées, la prudence en cliquant sur les liens et les mises à jour constantes restent les armes les plus efficaces pour garder les menaces comme Ermac à distance.
