The Hacker Newsは9月27日(現地時間)、「New Android Malware Steals Financial Data from 378 Banking and Wallet Apps」において、Android端末の金融アプリを狙った新しいマルウェア「ERMAC」による攻撃が拡大していると伝えた。ERMACは無害なアプリに偽装して攻撃を行うトロイの木馬型のマルウェアで、金融アプリをターゲットにしてログイン資格情報の盗み出しを試みるという。

ERMACに関する詳細は、セキュリティ企業のThreatFablicによる次のレポートに詳しくまとめられている。

  • ERMAC - another Cerberus reborn — ThreatFabric

    ERMAC - another Cerberus reborn — ThreatFabric

このレポートによると、ERMACは「Cerberus」と呼ばれる既存のマルウェアのソースコードを用いた派生物である可能性が高いという。Cerberusは2019年頃に登場したAndroid向けのトロイの木馬型マルウェアで、金融情報の盗み出しを目的して大規模なキャンペーンで利用され、多大な被害をもたらしたことで知られている。Cerberusのソースコードがアンダーグラウンドのフォーラムで公開されていることも分かっており、ERMACはそれをもとにして作成されたものとみられている。

ERMACは、外部のサーバ(C2サーバ)と通信してさまざまなコマンドを実行する機能を持っており、インストールされた端末の連絡先情報の盗み出し、テキストメッセージの取得、任意のアプリの起動などを実施する。また、任意のアプリの上に画像やボタンを重ね合わせることで入力情報を盗み出す「オーバーレイ攻撃」もできるようになっている。

これらの機能はCerberusと同様のものだが、ERMACにはさまざまな難読化手法と新しい暗号化アルゴリズムが導入されている点が異なるという。ThreatFablicのレポートが書かれた時点では、ERMACはポーランドをターゲットとして、配信サービスと政府のアプリケーションを装って配布されているとのことだ。

ThreatFablicのレポートには、ERMACの配布に用いられているアプリ名、攻撃のターゲットになっているアプリのリストなども掲載されている。攻撃対象には、住信SBIネット銀行や楽天銀行、コインチェックといった日本の金融機関が提供しているアプリも含まれている。