Ermak 银行木马家族分析
字数 2951 2025-08-22 12:23:18

Ermak 银行木马家族深度分析与防御指南

一、Ermak 木马概述

Ermak 是一种针对 Android 平台的银行木马家族,属于 Cerberus 恶意软件家族的重生版本。该木马通过伪装成合法应用(如示例中的 "HookAPP")诱骗用户安装,具有广泛的恶意功能集合,能够窃取银行凭证、监控设备活动并执行远程控制操作。

二、样本技术细节

1. 基础信息

项目 描述
应用名 HookAPP
包名 com.pogetezurecigu.tamike
文件类型 APK
文件大小 1.4 MB
MD5 c92683542f53e588f64bd62cf840f7c3
证书MD5 40178b234dc49d1fca15b5c11a4a236d
病毒家族 Ermak
VT检测率 2/63 (初始检测时)
发布时间 2024年5月2日左右

2. 传播途径

  • 通过第三方应用商店分发
  • 可能通过社交媒体链接传播
  • 伪装成合法应用诱导下载

三、威胁行为分析

Ermak 木马具有广泛的恶意功能,主要通过C&C服务器接收指令执行操作:

1. 设备控制类指令

指令 功能描述 潜在危害
start_vnc 启动屏幕录制 窃取屏幕显示的所有敏感信息
stop_vnc 停止屏幕录制 -
takescreenshot 截屏 获取当前屏幕内容
tap 点击指定位置 模拟用户操作
clickat 通过无障碍服务点击 绕过安全措施执行操作
clickattext 点击包含指定文本的元素 针对特定应用操作
swipe 滑动操作 模拟用户手势
longpress 长按操作 触发特定功能
startAdmin 请求设备管理员权限 获取持久化能力

2. 信息窃取类指令

指令 功能描述 窃取数据类型
getaccounts 获取账户信息 设备账户凭证
getcontacts 获取联系人 通讯录信息
getcallhistory 获取通话记录 通讯历史
getinstallapps 获取已安装应用列表 设备应用清单
getlocation 获取位置信息 地理位置数据
getgmailmessage 获取邮件信息 电子邮件内容
getimages 获取设备图片 相册内容
logaccounts 记录账户信息 应用登录凭证

3. 通讯控制类指令

指令 功能描述 滥用方式
send_sms 发送短信 发送欺诈信息
send_sms_many 群发短信 大规模传播
forwardsms 转发短信 窃取验证码
makecall 拨打电话 欺诈通话
calling 拨打电话 同上
forwardcall 电话转接 监听通话

4. 应用操作类指令

指令 功能描述 滥用目的
startapp 启动应用 触发特定应用
openwhatsapp 打开WhatsApp 针对通讯应用
startauthenticator2 启动Google验证器 窃取2FA代码
deleteapplication 卸载应用 移除安全软件

5. 其他恶意功能

指令 功能描述 技术细节
startussd 执行USSD代码 可能进行SIM卡操作
cookie 获取指定URL的cookie 会话劫持
updateinjectandlistapps 更新注入应用列表 动态目标选择
push 显示推送通知 社会工程学攻击

四、技术特点分析

  1. 隐蔽性

    • 初始VT检测率仅为2/63,表明具备良好的免杀能力
    • 使用合法签名证书(证书MD5: 40178b234dc49d1fca15b5c11a4a236d)

  2. 权限滥用

    • 滥用无障碍服务实现自动化点击
    • 请求设备管理员权限确保持久化

  3. 模块化设计

    • 通过C&C服务器动态更新功能
    • 支持广泛的恶意指令集

  4. 针对性攻击

    • 可针对特定银行应用进行操作
    • 能够记录账户凭证和2FA代码

五、检测与防御方案

1. 预防措施

  • 应用来源控制

    • 仅从Google Play等官方商店下载应用
    • 禁用"未知来源"应用安装选项
    • 对于银行等高敏感应用,只从官网下载

  • 权限管理

    • 警惕请求过多权限的应用
    • 特别关注无障碍服务和设备管理员权限请求
    • 定期审查已授予的权限

  • 设备加固

    • 启用Play Protect功能
    • 安装信誉良好的移动安全解决方案
    • 保持操作系统和应用程序最新

2. 检测指标(IOC)

  1. 样本特征

    • MD5: c92683542f53e588f64bd62cf840f7c3
    • 包名: com.pogetezurecigu.tamike
    • 证书MD5: 40178b234dc49d1fca15b5c11a4a236d

  2. 网络特征

    • 监控异常C&C通信
    • 检测与已知恶意域名的连接

  3. 行为特征

    • 同时请求无障碍服务和设备管理员权限
    • 应用功能与声明权限不符
    • 异常的后台进程和服务

3. 应急响应

  1. 感染处置

    • 立即断开网络连接
    • 进入安全模式卸载可疑应用
    • 如已获取设备管理员权限,需先取消授权

  2. 后续操作

    • 更改所有重要账户密码
    • 监控银行账户异常活动
    • 考虑重置设备为出厂设置

  3. 取证分析

    • 保留样本和日志供进一步分析
    • 上报安全厂商获取专业支持

六、企业防护建议

  1. 移动设备管理(MDM)

    • 实施企业级设备管理策略
    • 限制非必要应用的安装
    • 强制安全配置和更新

  2. 安全意识培训

    • 教育员工识别恶意应用特征
    • 建立安全下载和使用规范
    • 定期进行钓鱼演练

  3. 威胁情报整合

    • 订阅最新移动威胁情报
    • 及时更新防护规则
    • 建立内部威胁共享机制

七、总结

Ermak银行木马代表了当前移动威胁的典型特征:高隐蔽性、多功能性和针对性。通过分析其技术细节和攻击方式,我们可以更好地理解这类威胁的运作机制并制定有效的防御策略。防护的关键在于预防为主,通过严格控制应用来源、合理管理权限和部署安全解决方案,可以显著降低感染风险。对于已感染设备,应立即采取隔离和清除措施,防止进一步的数据泄露和财产损失。

Ermak 银行木马家族深度分析与防御指南 一、Ermak 木马概述 Ermak 是一种针对 Android 平台的银行木马家族,属于 Cerberus 恶意软件家族的重生版本。该木马通过伪装成合法应用(如示例中的 "HookAPP")诱骗用户安装,具有广泛的恶意功能集合,能够窃取银行凭证、监控设备活动并执行远程控制操作。 二、样本技术细节 1. 基础信息 | 项目 | 描述 | |------|------| | 应用名 | HookAPP | | 包名 | com.pogetezurecigu.tamike | | 文件类型 | APK | | 文件大小 | 1.4 MB | | MD5 | c92683542f53e588f64bd62cf840f7c3 | | 证书MD5 | 40178b234dc49d1fca15b5c11a4a236d | | 病毒家族 | Ermak | | VT检测率 | 2/63 (初始检测时) | | 发布时间 | 2024年5月2日左右 | 2. 传播途径 通过第三方应用商店分发 可能通过社交媒体链接传播 伪装成合法应用诱导下载 三、威胁行为分析 Ermak 木马具有广泛的恶意功能,主要通过C&C服务器接收指令执行操作: 1. 设备控制类指令 | 指令 | 功能描述 | 潜在危害 | |------|----------|----------| | start_ vnc | 启动屏幕录制 | 窃取屏幕显示的所有敏感信息 | | stop_ vnc | 停止屏幕录制 | - | | takescreenshot | 截屏 | 获取当前屏幕内容 | | tap | 点击指定位置 | 模拟用户操作 | | clickat | 通过无障碍服务点击 | 绕过安全措施执行操作 | | clickattext | 点击包含指定文本的元素 | 针对特定应用操作 | | swipe | 滑动操作 | 模拟用户手势 | | longpress | 长按操作 | 触发特定功能 | | startAdmin | 请求设备管理员权限 | 获取持久化能力 | 2. 信息窃取类指令 | 指令 | 功能描述 | 窃取数据类型 | |------|----------|--------------| | getaccounts | 获取账户信息 | 设备账户凭证 | | getcontacts | 获取联系人 | 通讯录信息 | | getcallhistory | 获取通话记录 | 通讯历史 | | getinstallapps | 获取已安装应用列表 | 设备应用清单 | | getlocation | 获取位置信息 | 地理位置数据 | | getgmailmessage | 获取邮件信息 | 电子邮件内容 | | getimages | 获取设备图片 | 相册内容 | | logaccounts | 记录账户信息 | 应用登录凭证 | 3. 通讯控制类指令 | 指令 | 功能描述 | 滥用方式 | |------|----------|----------| | send_ sms | 发送短信 | 发送欺诈信息 | | send_ sms_ many | 群发短信 | 大规模传播 | | forwardsms | 转发短信 | 窃取验证码 | | makecall | 拨打电话 | 欺诈通话 | | calling | 拨打电话 | 同上 | | forwardcall | 电话转接 | 监听通话 | 4. 应用操作类指令 | 指令 | 功能描述 | 滥用目的 | |------|----------|----------| | startapp | 启动应用 | 触发特定应用 | | openwhatsapp | 打开WhatsApp | 针对通讯应用 | | startauthenticator2 | 启动Google验证器 | 窃取2FA代码 | | deleteapplication | 卸载应用 | 移除安全软件 | 5. 其他恶意功能 | 指令 | 功能描述 | 技术细节 | |------|----------|----------| | startussd | 执行USSD代码 | 可能进行SIM卡操作 | | cookie | 获取指定URL的cookie | 会话劫持 | | updateinjectandlistapps | 更新注入应用列表 | 动态目标选择 | | push | 显示推送通知 | 社会工程学攻击 | 四、技术特点分析 隐蔽性 : 初始VT检测率仅为2/63,表明具备良好的免杀能力 使用合法签名证书(证书MD5: 40178b234dc49d1fca15b5c11a4a236d) 权限滥用 : 滥用无障碍服务实现自动化点击 请求设备管理员权限确保持久化 模块化设计 : 通过C&C服务器动态更新功能 支持广泛的恶意指令集 针对性攻击 : 可针对特定银行应用进行操作 能够记录账户凭证和2FA代码 五、检测与防御方案 1. 预防措施 应用来源控制 : 仅从Google Play等官方商店下载应用 禁用"未知来源"应用安装选项 对于银行等高敏感应用,只从官网下载 权限管理 : 警惕请求过多权限的应用 特别关注无障碍服务和设备管理员权限请求 定期审查已授予的权限 设备加固 : 启用Play Protect功能 安装信誉良好的移动安全解决方案 保持操作系统和应用程序最新 2. 检测指标(IOC) 样本特征 : MD5: c92683542f53e588f64bd62cf840f7c3 包名: com.pogetezurecigu.tamike 证书MD5: 40178b234dc49d1fca15b5c11a4a236d 网络特征 : 监控异常C&C通信 检测与已知恶意域名的连接 行为特征 : 同时请求无障碍服务和设备管理员权限 应用功能与声明权限不符 异常的后台进程和服务 3. 应急响应 感染处置 : 立即断开网络连接 进入安全模式卸载可疑应用 如已获取设备管理员权限,需先取消授权 后续操作 : 更改所有重要账户密码 监控银行账户异常活动 考虑重置设备为出厂设置 取证分析 : 保留样本和日志供进一步分析 上报安全厂商获取专业支持 六、企业防护建议 移动设备管理(MDM) : 实施企业级设备管理策略 限制非必要应用的安装 强制安全配置和更新 安全意识培训 : 教育员工识别恶意应用特征 建立安全下载和使用规范 定期进行钓鱼演练 威胁情报整合 : 订阅最新移动威胁情报 及时更新防护规则 建立内部威胁共享机制 七、总结 Ermak银行木马代表了当前移动威胁的典型特征:高隐蔽性、多功能性和针对性。通过分析其技术细节和攻击方式,我们可以更好地理解这类威胁的运作机制并制定有效的防御策略。防护的关键在于预防为主,通过严格控制应用来源、合理管理权限和部署安全解决方案,可以显著降低感染风险。对于已感染设备,应立即采取隔离和清除措施,防止进一步的数据泄露和财产损失。