Изследователи по киберсигурност от Cyble и ESET наскоро откриха, че версия 2.0 на ERMAC се рекламира в тъмната мрежа за месечен абонамент от 5000 долара (в сравнение с 3000 долара на месец за по-ранната версия).

Скокът в цената на абонамента не се дължи само на инфлацията - това се дължи и на версия 2.0, която идва с много повече функции. Вече е в състояние да краде потребителски имена, пароли и други чувствителни данни от 467 приложения спрямо предишните 378.



Когато жертвата инсталира ERMAC на своята система, злонамереният софтуер иска разрешения до услугата за достъпност, което му дава пълен контрол над устройството. Изследователите са открили, че троянският кон си дава 43 разрешения, включително достъп до SMS, достъп до контакти, създаване на прозорец за системни предупреждения, аудиозапис и пълен достъп до паметта за четене и запис.

След това той може да имитира различни приложения и да краде чувствителни данни. След като получи необходимите разрешения, той сканира устройството за инсталирани приложения и изпраща данните до своя C2 сървър. След това сървърът отговаря с модули за инжектиране в криптирана HTML форма, която троянският кон декриптира и поставя във файла Shared Preference под име на файла setting.xml. Когато жертвата се опита да стартира приложение, троянският кон ще стартира фишинг страница над интерфейса на действителното приложение, като по този начин събира данните.