ប្រភពកូដសម្រាប់ជំនាន់ទី៣ នៃមេរោគ ERMAC Android Banking Trojan ត្រូវលាតត្រដាងលើអនឡាញ ដោយបានបើកចំហផ្ទៃក្នុងរបស់ Malware-as-a-service Platform និងរចនាសម្ព័ន្ធរបស់ប្រតិបត្តិករ។
មូលដ្ឋានកូដត្រូវបានរកឃើញនៅក្នុង Open Directory ដោយអ្នកស្រាវជ្រាវ Hunt.io ខណៈពេលស្គេនរកមើលធនធាន (Resources) ដែលត្រូវបានលាតត្រដាង នៅខែមីនា ឆ្នាំ២០២៤។ ពួកវាត្រូវបានរក្សាទុកនៅក្នុង Archive ឈ្មោះ Ermac 3.0.zip ដែលមានផ្ទុកកូដរបស់មេរោគ រួមមាន Backend, Frontend (panel), ការជ្រៀតចូលម៉ាស៊ីនមេ, ការកំណត់រចនាសម្ព័ន្ធដាក់ពង្រាយ, និងអ្នកបង្កើតមេរោគ Trojan និង Obfuscator។
អ្នកស្រាវជ្រាវបានវិភាគលើកូដ បានរកឃើញថា វាបានពង្រីកសមត្ថភាពកំណត់គោលដៅបើប្រៀបនឹងជំនាន់មុន ហើយមានកម្មវិធីធនាគារ ទិញលក់ទំនិញ (Shopping) និងប្រាក់គ្រីបតូមិនតិចជាង ៧០០។ មេរោគ ERMAC ត្រូវបានចងក្រងជាឯកសារកាលពីខែកញ្ញា ឆ្នាំ២០២១ ដោយ ThreatFabric ដែលជាក្រុមហ៊ុនផ្តល់ដំណោះស្រាយឆបោកការទូទាត់តាមអនឡាញ និងស៊ើបអង្កេតវិស័យសេវាកម្មហិរញ្ញវត្ថុ នេះជាការវិវត្តរបស់មេរោគ Cerberus Banking Trojan ដែលដំណើរការដោយហេគឃ័រ និងមានឈ្មោះថា ‘BlackRock’។
មេរោគ ERMAC v2.0 ត្រូវបានប្រទះឃើញដោយ ESET កាលពីខែឧសភា ឆ្នាំ២០២២ ដែលបានជួលទៅឱ្យឧក្រិដ្ឋជនក្នុងតម្លៃ ៥,០០០ដុល្លារក្នុងមួយខែ និងមានគោលដៅលើកម្មវិធីចំនួន ៤៦៧ ដោយបានកើនឡើងពីកម្មវិធីចំនួន ៣៧៨កាលពីជំនាន់មុន។ នៅដើមឆ្នាំ២០២៣ ThreatFabric បានសង្កេតឃើញថា BlackRock បានផ្សព្វផ្សាយ Android Malware Tool ថ្មីមួយឈ្មោះ Hook ដែលវាទំនងជាការវិវត្តរបស់ ERMAC។
សមត្ថភាព ERMAC v3.0៖ Hunt.io បានរកឃើញ និងបានវិភាគលើ ERMAC’s PHP Command-and-control (C2) Backend, React front-end panel, Go-based Exfiltration Server, Kotlin Backdoor និង Builder Panel ប្រើសម្រាប់បង្កើត APKs Trojanized ផ្ទាល់ខ្លួន។ យោងតាមអ្នកស្រាវជ្រាវបានឱ្យដឹងថា ERMAC v3.0 ឥឡូវនេះ មានគោលដៅលើព័ត៌មានអ្នកប្រើប្រាស់សំខាន់ៗមិនតិចជាង ៧០០កម្មវិធីទេ (Apps)។ ជាងនេះទៀត ជំនានចុងក្រោយបានពង្រីកបច្ចេកទេសលើការចាក់បញ្ចូល Form-injection ពីជំនាន់មុន, ប្រើ AES-CBC សម្រាប់ការទាក់ទងដែលបានអ៊ីនគ្រីប, មានមុខងារ Overhauled Operator Panel និងជំរុញការលួចទិន្នន័យ និងគ្រប់គ្រងលើ Device។ ជាពិសេស Hunt.io បានចងក្រងឯកសារអំពីសមត្ថភាព ERMAC ចុងក្រោយបង្អស់រួមមាន៖
- លួចសារ SMS, Contact និងគណនីដែលបានចុះឈ្មោះ
- ទាញយក Gmail Subjects និងសារ
- ដំណើរការឯកសារតាមរយៈ ‘List’ និងដោនឡូត Commands
- ផ្ញើសារ SMS និងទូរស័ព្ទទៅបន្ត (forwarding) ក្នុងបំណងកេងចំណេញលើទំនាក់ទំនង
- ទាញយករូបថត (Capturing) តាមរយៈកាមេរ៉ាខាងមុខ
- គ្រប់គ្រងលើកម្មវិធីទាំងស្រុង (Launch, Uninstall, Clear Cache)
- បង្ហាញការជូនដំណឹងក្លែងក្លាយក្នុងបំណងឆបោក
- លុប (Uninstalls) ពីចម្ងាយក្នុងបំណងរំខាន
ហេដ្ឋារចនាសម្ព័ន្ធបានលាតត្រដាង៖ អ្នកវិភាគ Hunt.io បានប្រើ SQL Queries សម្រាប់កំណត់អត្តសញ្ញាណហេដ្ឋារចនាសម្ព័ន្ធ ដែលបានលាតត្រដាង ដែលបច្ចុប្បន្នត្រូវបានប្រើដោយហេគឃ័រសម្រាប់កំណត់ C2 Endpoint, Panels, ជ្រៀតចូលម៉ាស៊ីនមេ( exfiltration servers) និងដាក់ពង្រាយមេរោគ (Builder)។
ក្រៅពីការលាតត្រដាងប្រភពកូដរបស់មេរោគ Malware ប្រតិបត្តិករ ERMAC មានដំណើរការ Opsec ទន់ខ្សោយមួយចំនួនដូចជា Hardcoded JWT Tokens, Default Root Credentials និងគ្មានការការពារ Registration នៅលើ Admin Panel ដែលអនុញ្ញាតឱ្យអ្នករាល់គ្នាអាចចូលដំណើរការបាន រៀបចំ ឬរំខានដល់ ERMAC Panels ជាដើម។ ចុងក្រោយ ឈ្មោះ Panels, Headers, Package Names និងស្នាមម្រាមដៃប្រតិបត្តិការផ្សេងៗបានបន្សល់ទុកនូវការសង្ស័យអំពីការចូលរួម និងការរកឃើញ ថែមទាំងបង្ហាញផ្លូវនៃហេដ្ឋារចនាសម្ព័ន្ធកាន់តែងាយស្រួល។
ប្រភពកូដ ERMAC v3.0 បង្ហាញពីភាពទន់ខ្សោយនៃប្រតិបត្តិការមេរោគ Malware ។ ទីមួយកាត់បន្ថយការជឿទុកចិត្តរបស់អតិថិជនលើ MaaS នៅក្នុងសមត្ថភាពរបស់ខ្លួន ក្នុងការការពារព័ត៌មានពីការអនុវត្តច្បាប់ ឬអនុញ្ញាតឱ្យមានដំណើរការយុទ្ធនាការដែលមានហានិភ័យនៃការរកឃើញ។ ដំណោះស្រាយការរកឃើញការគំរាមកំហែងក៏ទំនងជាមានសមត្ថភាពកាន់តែប្រសើរឡើងនៅពេលរកឃើញ ERMAC ។ ទោះជាយ៉ាងណា ប្រសិនបើប្រភពកូដធ្លាក់ចូលក្នុងដៃហេគឃ័រដទៃទៀត វាប្រហែលជាអាចអភិវឌ្ឍអញ្ញត្តិ ERMAC នាពេលអនាគតឱ្យកាន់តែពិបាករកឃើញ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៨ ខែសីហា ឆ្នាំ២០២៥
