El código fuente de la versión 3 del troyano bancario ERMAC para Android se filtró en línea, revelando cómo funciona por dentro esta peligrosa plataforma de malware-as-a-service y dejando expuesta la infraestructura que usaban sus operadores.
La filtración fue descubierta por investigadores de Hunt.io en marzo de 2024, cuando encontraron un archivo llamado Ermac 3.0.zip en un directorio abierto. Dentro había de todo: backend, panel de control, servidor de exfiltración, configuraciones de despliegue e incluso el builder y el ofuscador usados para generar las aplicaciones maliciosas.
De Cerberus a ERMAC: una evolución peligrosa
ERMAC fue documentado por primera vez en 2021 como una evolución del troyano Cerberus, operado por un grupo conocido como BlackRock. Con la versión 2.0, detectada en 2022, los ciberdelincuentes lo alquilaban por unos 5,000 dólares al mes, y ya era capaz de atacar casi 500 aplicaciones.
La versión 3.0 dio un salto mucho mayor: según Hunt.io, amplió su alcance a más de 700 apps bancarias, de compras y criptomonedas, aumentando su poder para robar información sensible y tomar control de dispositivos Android.
Una de las inyecciones de formulario de ERMAC (Fuente: Hunt.io)
Qué puede hacer ERMAC 3.0
El código filtrado permitió a los investigadores entender mejor el alcance de esta amenaza. Entre sus funciones más peligrosas están:
- Robar SMS, contactos y cuentas registradas.
- Extraer correos de Gmail.
- Acceder y descargar archivos.
- Redirigir llamadas y enviar SMS.
- Tomar fotos con la cámara frontal.
- Administrar aplicaciones (abrir, desinstalar, limpiar caché).
- Mostrar notificaciones falsas para engañar al usuario.
- Desinstalarse de forma remota para evadir detecciones.
En la práctica, ERMAC se convierte en una puerta trasera completa, con capacidad para robar datos, controlar el dispositivo y ejecutar comandos bajo demanda.
Servidores C2 ERMAC expuestos (Fuente: Hunt.io)
Títulos similares: Riesgos de Seguridad en Android Económicos
La infraestructura también quedó al descubierto
Además del código, los analistas encontraron servidores C2 expuestos, paneles de administración mal protegidos e incluso credenciales por defecto y tokens incrustados en el código. Estos errores de seguridad facilitaron a los investigadores mapear toda la infraestructura usada por los operadores.
Aunque esto supone un golpe a la operación original de ERMAC —ya que los clientes criminales pierden confianza en la plataforma—, la filtración también abre la puerta a que otros actores reutilicen el código para crear variantes modificadas aún más difíciles de detectar.
Accediendo al panel ERMAC (Fuente: Hunt.io)
Qué significa para ti y tu empresa
En TecnetOne te recordamos que los troyanos bancarios como ERMAC no son un problema lejano. Con cada evolución, su capacidad para pasar desapercibidos aumenta, y el simple hecho de instalar una app falsa desde una tienda no oficial puede comprometer todo tu dispositivo.
- Mantén tu Android actualizado y evita instalar apps desde fuentes dudosas.
- Revisa los permisos de las aplicaciones: si una app de “protección bancaria” pide acceso a SMS, llamadas o cámara, desconfía.
- Monitorea tu infraestructura: las filtraciones de este tipo facilitan a los proveedores de seguridad mejorar sus defensas, pero los atacantes también aprenden de ellas.
En resumen: la filtración del código de ERMAC es un arma de doble filo. Por un lado, permite a la comunidad de ciberseguridad reforzar sus defensas; por otro, abre la posibilidad de nuevas variantes aún más sofisticadas. La clave está en mantenerte un paso adelante con buenas prácticas y monitoreo constante.