Comment la fuite a été découverte

En auditant Internet à la recherche de serveurs mal configurés, des chercheurs ont trouvé un répertoire public, sans mot de passe, contenant l’archive « Ermac 3.0.zip » avec l’intégralité du code et de l’infrastructure du malware. ERMAC, apparu en 2021 et largement inspiré de Cerberus, cible les smartphones Android et était loué par abonnement mensuel à des affiliés.

Pourquoi ERMAC est redoutable

• Superposition d’écrans (overlay) imitant les applis bancaires pour voler identifiants et mots de passe.
• Étendue des cibles : plus de 700 applications visées (contre 378 au départ).
• Capacités élargies : lecture/vol de SMS, contacts, identifiants enregistrés, consultation de mails, téléchargement de fichiers, envoi de SMS, détournement d’appels, prise de photos, contrôle d’apps, faux notifications, wipe à distance pour s’effacer.

Conséquences pour l’écosystème criminel

La fuite du code source facilite l’ingénierie défensive : amélioration des signatures, règles de détection, IOC/IOA plus précis, et perturbation des serveurs de commande encore actifs. Elle entame aussi la confiance entre vendeurs et affiliés : l’intérêt financier du service peut s’éroder si les attaques sont plus vite détectées et bloquées.

Que faire si vous pensez être infecté ?

1. Passez en mode avion pour couper données/voix, puis sauvegardez vos photos/contacts hors ligne.
2. Désinstallez l’app suspecte (Paramètres > Applications) et révoquez ses permissions d’accessibilité/overlay.
3. Analysez l’appareil avec un antivirus mobile reconnu ; supprimez toute détection.
4. Changez vos mots de passe à partir d’un appareil sain ; privilégiez un gestionnaire de mots de passe.
5. Contactez votre banque pour surveiller/faire oppositions et activer des alertes de transactions.
6. Réinitialisez l’appareil (si doute persistant) et restaurez uniquement des sauvegardes de confiance.