Penyebarannya pun dilakukan lewat situs pembaruan situs palsu.
Saat korban sudah tertipu dan mengunduh aplikasi palsu tersebut, Ermac 2.0 akan meminta 43 akses ke data di ponsel, termasuk izin untuk membaca data dari storage eksternal dan menulis SMS.
Baca Juga:
Wanda Hamidah Mau Minta Maaf: Kalimat Mana yang Salah?
Korban juga akan diminta menyalakan Accessibility Service.
Dan jika permission itu sudah diberikan, malware akan mulai menyalahgunakan layanan dengan menyalakan aktivitas overlay dan mengizinkan bermacam permission lain.
Kemudian malware akan mengirimkan daftar aplikasi yang terpasang di ponsel korban ke server Command and Control.
Baca Juga:
Soal Lahan Cikini Wanda Hamidah Pasrah
Kemudian akan menerima respon berisi informasi aplikasi apa saja yang perlu diakses karena mempunya data-data sensitif.
Dalam catatan peneliti, aplikasi kripto asal India bernama Unocoin adalah salah satu aplikasi yang menjadi target Ermac 2.0.
Malware kemudian akan menyimpan laman HTML phising di perangkat, dan saat korban menggunakan aplikasi asli yang diincar, laman phishing itu akan ditampilkan untuk mencuri data login korban, yang kemudian dikirimkan kembali ke server Command and Control.
