ERMAC Android banki trójai
A trójai célja, hogy ellopott bejelentkezési adatokat küldjön el a fenyegetés szereplőinek, akik aztán ezek segítségével átveszik az irányítást a banki és kriptovaluta számlák felett. Az ERMAC-ot a darkneten havi 5000 dolláros előfizetésért kínálják, ami 2 ezer dollárral több, mint az első verzió ára. Ez is mutatja, hogy az eddigi 378-ról 467-re nőtt a kihasználható alkalamzások száma a trójai segítségével.
Az ERMAC először összegyűjti, hogy mely alkalmazások vannak telepítve a eszközre, majd elküldi az információkat a C2-kiszolgálónak. A válasz tartalmazza az alkalmazáslistának megfelelő befecskendezési modulokat titkosított HTML formátumban, amelyeket a rosszindulatú program visszafejt, és a Shared Preference fájlban „setting.xml” néven tárol. Amikor az áldozat megpróbálja elindítani a valódi alkalmazást, megtörténik az beszúrás és egy adathalász oldal töltődik be a tényleges grafikus felhasználói felület fölé. A begyűjtött hitelesítő adatokat ugyanarra a C2-re küldik el, amelyik az beszúrásokat is biztosította.