ERMAC安卓银行木马3.0版本的源代码已在网上泄露，这使得该恶意软件即服务平台的内部机制以及运营者的基础设施被迫曝光。

2024年3月，Hunt.io的研究人员在扫描暴露的资源时，于一个开放目录中发现了这一代码库。

他们找到了一个名为“Ermac 3.0.zip”的压缩包，其中包含该恶意软件的代码，涵盖后端、前端、数据窃取服务器、部署配置，以及木马的生成器和混淆器。研究人员对代码进行分析后发现，与之前的版本相比，其目标攻击能力大幅提升，可针对超过700个银行、商城及加密货币相关应用。

ERMAC最早于2021年9月由ThreatFabric（一家为金融服务领域提供在线支付欺诈解决方案及情报的供应商）记录在案。它是Cerberus银行木马的升级版，由名为“BlackRock”的威胁者操控。

2022年5月，ESET发现了ERMAC 2.0版本，该版本以每月5000美元的费用租给网络犯罪分子，当时可攻击467个应用，较上一版本的378个有所增加。

2023年1月，ThreatFabric观察到BlackRock在推广一款名为Hook的新型安卓恶意软件工具，该工具似乎是ERMAC的进一步演进版本。

ERMAC 3.0的功能

Hunt.io发现并分析了ERMAC的PHP命令与控制（C2）后端、React前端面板、基于Go语言的数据窃取服务器、Kotlin后门，以及用于生成定制化木马化APK的生成器面板。

研究人员表示，ERMAC 3.0目前可针对超过700个应用中的用户敏感信息。

ERMAC的一个表单注入

此外，这个最新版本在以往记录的表单注入技术基础上进行了拓展，采用AES-CBC进行加密通信，对运营者面板进行了全面改造，并增强了数据窃取和设备控制能力。

具体而言，Hunt.io已记录了ERMAC最新版本的以下功能：

·窃取短信、联系人及已注册账户信息

·提取Gmail邮件主题及内容

·通过“列表”和“下载”命令访问文件

·发送短信及呼叫转移，滥用通信功能

·通过前置摄像头拍摄照片

·全面的应用管理（启动、卸载、清除缓存）

·显示虚假推送通知以实施欺骗

·远程卸载（killme）以实现规避

基础设施暴露

Hunt.io的分析师通过SQL查询识别出威胁者当前正在使用的、处于暴露状态的活跃基础设施，包括C2端点、面板、数据窃取服务器及生成器部署。

暴露的ERMAC C2服务器

除了泄露恶意软件的源代码外，ERMAC的运营者还存在其他几处严重的操作安全失误，例如硬编码的JWT令牌、默认的root凭据，以及管理面板缺乏注册保护，这使得任何人都能访问、操纵或破坏ERMAC的相关面板。

最后，面板名称、标题、包名以及其他各种操作痕迹，无疑为溯源提供了依据，也让基础设施的发现和映射工作变得容易许多。

访问ERMAC面板

ERMAC 3.0源代码的泄露削弱了该恶意软件的运营——首先，它削弱了客户对这一恶意软件即服务平台的信任，客户会怀疑其能否保护信息不被执法部门获取，或是能否在低检测风险下开展攻击活动。

威胁检测解决方案也可能会在识别ERMAC方面变得更加高效。然而，如果源代码落入其他威胁者手中，未来有可能会出现更难检测的ERMAC修改变体。

参考及来源：https://www.bleepingcomputer.com/news/security/ermac-android-malware-source-code-leak-exposes-banking-trojan-infrastructure/

IPv4进入倒计时：IETF拟将IPv6纳入DNS强制标准

在互联网向IPv6全面过渡的关键阶段，IETF（互联网工程任务组）正推动DNS解析系统强制支持IPv6，这一举措被业界视为撼动IPv4根基的“致命一击”。

 IPv6推动者：DNS解析器不应再停留在IPv4时代

互联网标准制定机构IETF近日收到了一份由Momoka Yamamoto（WIDE Project）与Tobias Fiebig（德国马普信息研究所）提交的草案，建议将“支持IPv6”列为DNS解析器的运营最佳实践。该草案指出，虽然IPv6的讨论早在数十年前就已启动，但目前仍存在大量仅使用IPv4的DNS服务器，成为IPv6部署的“卡脖子”环节。

他们在草案中写道：“当DNS解析器仅支持IPv4，而目标设备或权威DNS服务器仅支持IPv6时，将导致解析失败，限制IPv6域名的正常解析。”这不仅拖累了新设备的接入，也在无形中延长了IPv4的寿命，形成恶性循环。

RFC3901已过时，IETF迎来修订时刻

目前IETF制定的官方标准RFC3901（发布于2004年）要求DNS解析器必须支持IPv4，但将IPv6仅视为“可选项”。彼时Sun Microsystems尚是独立公司，IPv6部署还处于萌芽期。而今，随着全球IPv6应用的逐步扩大，这一标准显然已显老态，难以应对互联网生态的新现实。

Tobias Fiebig在接受The Register采访时表示：“我们找不到DNS服务器强制使用IPv6所带来的任何负面影响。是时候放下顾虑，全力推进了。”

他与同事Anja Feldmann共同撰写的研究论文《我如何学会不再担忧并爱上IPv6：评估互联网对DNS over IPv6的准备情况》即将发布，进一步佐证了这一判断。

 IPv4不再是“资产”，而是数字时代的负担

Fiebig尖锐指出，当前IPv4地址因稀缺而被视为“投资资产”，推动着价格上涨和资源集中，这不仅割裂了新兴经济体进入互联网的机会，也加剧了网络的“权贵化”。

“IPv4的稀缺性本质上设下了一道财政门槛，将边缘社群、草根项目、发展中市场挡在了全球互联网门外。”他直言不讳地批评称，一些持有大量IPv4资源的行为者，正在“主动攻击”互联网多利益相关方治理结构，以实现自身的财务利益最大化。

全球IPv6正迅猛推进，亚洲领跑

在全球范围内，IPv6部署也迎来一波加速浪潮。数据显示：

• 中国在固定网络IPv6普及方面取得明显突破；

• 亚洲整体IPv6能力超过50%，领跑全球；

• Starlink助推八国IPv6接入率超过50%；

• 同时，因稀缺而增值的IPv4地址如今甚至可以作为1亿美元贷款的抵押物。

在此背景下，IETF若将DNS解析器强制支持IPv6写入标准，无疑将对IPv6普及产生“蝴蝶效应”。

未来展望：IPv6标准化是唯一出路

这份草案的起草人之一、Momoka Yamamoto被Fiebig称为“推动此提案的灵魂人物”。她将提案带入IETF流程，开启了标准化的第一步。如果最终被采纳，将为全球运营商部署IPv6打下一道强制性的制度根基。

在互联网迈向下一代基础设施的征途中，IPv6不再只是一个“技术愿景”，而是全球网络公平性、可持续性与安全性的现实需求。而淘汰IPv4，DNS解析系统的升级或许正是“第一块多米诺骨牌”。

参考链接：

https://datatracker.ietf.org/doc/draft-ietf-dnsop-3901bis/04/

文章来源：嘶吼专业版、GoUpSec