O código-fonte do trojan bancário Android ERMAC 3.0 foi encontrado em um diretório público sem qualquer proteção, revelando toda a infraestrutura utilizada pelos operadores do malware. Essa exposição inclui não apenas o aplicativo malicioso, mas também os servidores de comando e controle (C2), painéis de administração e ferramentas de construção de APKs.
O ERMAC é considerado um dos trojans móveis mais perigosos em circulação. Sua versão 3.0 expande a capacidade de ataque para mais de 700 aplicativos de bancos, carteiras digitais e plataformas de criptomoedas. Ele utiliza sobreposições de tela para roubar credenciais e consegue exfiltrar dados diretamente do dispositivo infectado. Entre os arquivos vazados estão um painel de controle em React, servidores escritos em PHP e Golang, além de scripts para gerar novas versões do malware. Isso fornece uma visão rara e detalhada de como os operadores coordenam suas campanhas de roubo de dados e espionagem financeira. Pesquisadores que analisaram o material encontraram diversas falhas operacionais, incluindo credenciais padrão e segredos de autenticação expostos.
Esses pontos fracos poderiam ser usados por especialistas em segurança para interromper campanhas em andamento e desativar parte da infraestrutura criminosa. O trojan, escrito em Kotlin, oferece aos atacantes acesso quase total ao dispositivo infectado. Entre suas funções estão leitura de SMS, interceptação de chamadas, coleta de contatos, ativação remota de sobreposições e até desinstalação de aplicativos de segurança. Além disso, suas comunicações são criptografadas, dificultando a detecção. A exposição do código é um risco duplo. Por um lado, pode ajudar equipes de defesa a mapear e bloquear a infraestrutura criminosa. Por outro, permite que outros grupos de cibercrime reutilizem ou adaptem o malware, criando novas variantes e ampliando seu alcance.
