Subscribe
Subscribe

ERMAC2 – SEGUNDA GENERACIÓN DEL MALWARE BANCARIO

malc0lmx3991@proton.me

1. ¿Qué es Ermac2?

Ermac2 es la segunda generación del malware bancario Ermac, un Android banking trojan diseñado para robar credenciales mediante overlays, capturar accesos a aplicaciones financieras y secuestrar dispositivos Android.
Surgió en foros clandestinos a finales de 2021, evolucionando desde el código base de Cerberus, uno de los troyanos bancarios más influyentes.

Ermac2 es una versión mejorada que añade:

  • Mejor evasión de Google Play Protect
  • Panel de control más avanzado
  • Nuevos overlays bancarios
  • Automatización de fraude (ATS)

2. Características y funciones principales

✔️ 2.1. Funciones núcleo

  • Overlay attacks: Superposición de pantallas falsas sobre apps bancarias para robar credenciales.
  • Keylogging avanzado: Captura todo lo que escribe el usuario.
  • Captura de SMS / OTP: Incluye interceptación de códigos 2FA.
  • Acceso a contactos e información personal.
  • Control remoto mediante WebPanel.

✔️ 2.2. Funciones avanzadas

  • ATS (Automatic Transfer System): Automatiza transacciones dentro de la app bancaria.
  • Carga dinámica de módulos.
  • Anti-detección mejorada gracias a ofuscación y encriptación de tráfico.
  • Geofencing: Activación selectiva por país.
  • Detección y bloqueo de antivirus móviles.
  • Volcado de cookies web para secuestro de sesión.

✔️ 2.3 Permisos críticos que solicita

  • AccessibilityService
  • Read_SMS
  • Receive_SMS
  • Overlay
  • PackageManager control
  • Call log access
  • Device admin in some variants

3. Usos maliciosos y capacidades

Ermac2 se utiliza casi exclusivamente para fraude bancario y ataques de robo de identidad.

🔴 Capacidades maliciosas:

  • Robar credenciales bancarias mediante overlay.
  • Secuestrar cuentas completas gracias a cookies + OTP.
  • Robo completo de billeteras cripto (Metamask, Trust Wallet, Coinbase).
  • Fraude automatizado: transferencias sin intervención del atacante gracias a ATS.
  • Robo de credenciales de apps no financieras (Facebook, WhatsApp, correo).
  • Espionaje persistente del dispositivo.

🔴 Impacto real:

  • Robos masivos en Europa, LATAM y Asia.
  • Se integra con botnets, SMS-gateways y spam para campañas masivas.
  • Permite suplantación completa del usuario bancario.

4. Actores que lo utilizan

Ermac2 es un malware comercializado en modelos de suscripción dentro de foros criminales.

Los actores que lo usan incluyen:

🟣 1. Grupos de fraude bancario profesional (BOTNET-as-a-Service)

Organizaciones enfocadas en robo de cuentas bancarias en masa.

🟣 2. Cibercriminales individuales (los llamados Script Kiddies avanzados)

Gracias al panel fácil de usar, pueden ejecutar campañas sin ser expertos.

🟣 3. Grupos de LATAM, Rusia, Europa del Este

Especialmente en campañas de:

  • Bancos de Brasil/Perú/México
  • Fintechs colombianas y mexicanas
  • Wallets cripto de usuarios jóvenes

🟣 4. Grupos afiliados a servicios MaaS

Se usa como parte de combos con:

  • Lure smishing
  • Paneles de phishing
  • SMS spoofing
  • Malware loader como DarkLoader o Medusa delivery chains

5. Distribución y despliegue

Ermac2 se distribuye mediante métodos clásicos de malware bancario para Android:

🚨 Métodos principales de distribución

MétodoDescripción
Smishing (SMS fraudulento)Enlaces que llevan a APK malicioso.
Fake Apps / Google Play falsasApps que se hacen pasar por bancos, Amazon, correos, Mercado Libre.
Landing pages estilo Google PlayMuy comunes en campañas de LATAM.
Publicidad maliciosa (malvertising)Apps de actualización falsa, Flash Player, etc.
Ingeniería social directaMensajes de “bloqueo de cuenta”, “actualizar datos bancarios”, etc.
Dropper apps (Zombinder, BugDrop, etc.)Apps legítimas empaquetadas con Ermac2.

🚨 Requisitos del atacante

  • Subir el APK modificado en un hosting.
  • Dirección de conexión C2 fija.
  • Configuración de overlays por banco/país.
  • Preparar campañas de smishing o phishing.

6. Precio, modelo de negocio y variantes

💰 Precio

En foros criminales, Ermac 2.0 se rentaba por:

  • $3.000 USD por mes
  • $5.000–$7.000 USD por 3 meses (planes VIP)
  • Acceso adicional a overlays personalizados por $500–$1.000 USD.

🛒 Modelo de negocio

  • MaaS (Malware-as-a-Service)
  • El vendedor provee:
    • Panel web
    • Actualizaciones
    • Nuevas plantillas de bancos
    • Soporte técnico
    • Infraestructura opcional
    • Overlays por región

🧬 Variantes principales

VarianteDescripción
Ermac 1.0Basado en Cerberus; capacidades estándar.
Ermac 2.0ATS, evasión avanzada, soporte para más apps bancarias.
Ermac 2.5 / 3.0 (no oficiales)Versiones modificadas en foros rusos.
Forks privadosInyectados en combos de botnets exclusivas.

RESUMEN EJECUTIVO

Ermac2 es un poderoso malware bancario para Android, diseñado para fraude financiero a gran escala.
Su eficacia proviene de:

  • Overlays muy precisos de apps bancarias reales
  • ATS para robo automatizado
  • Evasión de Play Protect
  • Control total del dispositivo mediante AccessibilityService

Es uno de los troyanos más utilizados después de Hydra, Alien, Medusa, y Hook.

Para adquirir el Troyano junto con su documentación técnica y el manual de despliegue completo, contácteme a través de los canales autorizados.

🌐 Sitio Web Oficial: http://maninthemiddle-mx.com/

📣 Canal de Telegram: https://t.me/Man_In_The_Middl3

📩 Contacto de Telegram / Administrador: @M4lc0lm_X

✖️ Cuenta X (Twitter): https://x.com/man1nth3middle

CONTACTO DIRECTO

Related Posts

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *