Cybleは5月25日(米国時間)、「Cyble - ERMAC Back In Action」において、Androidで動作するバンキング型トロイの木馬「ERMAC」がバージョン2.0となって活動を再開していることを観測したと伝えた。以前のバージョンと比較して窃取可能なアプリケーション認証情報の種類が増えているほか、急速に配布が広がっているとして注意が呼びかけられている。

  • Cyble - ERMAC Back In Action

    Cyble - ERMAC Back In Action

ERMACというAndroid向けのバンキング型トロイの木馬は2021年8月にバージョン1.0の活動が観測されている。当時は主にポーランドを標的としたAndroid向けのトロイの木馬として配布されており、当時で378のアプリケーション認証情報を窃取することが可能だった。このトロイの木馬は当時のサイバー犯罪フォーラムにおいて月額3000ドルで貸出が行われている。

Cybleの研究者らは最近、このトロイの木馬の次のバージョンとされる「ERMAC 2.0」がアンダーグラウウンドフォーラムで月額5,000ドルで貸し出されていることを発見した。467のアプリケーション認証情報を窃取することが可能とされており、バージョン1よりも機能が強化されている。今回も主な標的はポーランドとされており、フードデリバリーサービスプラットフォームを経由して感染を広めているという。

Cybleは、ERMACの背後にいるサイバー脅威アクターが今後も情報窃取の対象となるアプリケーションを増やし、より新しい感染手段および窃取手段を開発し、新しいバージョンの開発を続ける可能性があるとして注意を呼びかけている。