Платформа за зловреден софтуер Zombinder

Злонамерените заплахи са открили нов начин за разпространение на злонамерен софтуер и заразяване на нищо неподозиращите жертви – чрез използването на платформата Dark Net, наречена „Zombinder“. Тази платформа позволява на участниците в заплахата да обвържат повреден код с легитимни приложения за Android, позволявайки им да бъдат разпространявани по неоткриваем начин.

Кампаниите за атаки бяха открити от изследователи по киберсигурност. Според техните констатации застрашителната операция е успяла да повлияе на хиляди жертви. Всъщност само заплахата Erbium Stealer , внедрена като част от атаката, успя да зарази 1300 устройства.

Вектори на инфекция и доставен зловреден софтуер

Киберпрестъпниците са създали легитимно изглеждащ уебсайт като примамка да подмамят потребителите да изтеглят зловреден софтуер. Предполага се, че повреденият сайт предоставя на потребителите приложение за Wi-Fi авторизация. Посетителите имат два избора в зависимост от предпочитаната от тях платформа. Те могат да кликнат върху бутоните „Изтегляне за Windows“ или „Изтегляне за Android“. И в двата случая изтегленото приложение ще носи повредения код, но внедрените заплахи се различават в зависимост от системата на потребителя.

Ако посетителите на уебсайта кликнат върху бутона „Изтегляне за Windows“, компютрите им може да бъдат заразени от Erbium Stealer, Laplas Clipper или Aurora Info-stealer. Тези части от зловреден софтуер са сложни инструменти, използвани от киберпрестъпниците за събиране на лична информация, като пароли, номера на кредитни карти и банкови данни. Заплахите, използващи тези щамове, обикновено купуват достъп до тях от оригиналните разработчици за няколкостотин щатски долара на месец. Веднъж попаднали в компютъра, тези заплахи могат да причинят значителни щети.

От друга страна, бутонът „Изтегляне за Android“ води до извадка от банковия троян Ermac , класифициран от изследователите на infosec като Ermac.C. Този заплашителен вариант има много вредни функции, включително възможността за наслагване на приложения за кражба на лична информация, записване на клавиатури, събиране на имейли от приложения на Gmail, прихващане на двуфакторни кодове за удостоверяване и събиране на начални фрази от няколко портфейла за криптовалута.

Платформата Zombinder въоръжава легитимни приложения

Клонът на Android на заплашителната кампания използва услугата Dark Net, наречена Zombinder. Платформата е в състояние да прикачва компрометирани APK файлове към иначе легитимни приложения за Android. Според експертите Zombinder стартира за първи път през март 2022 г. и оттогава започва да набира популярност сред киберпрестъпниците. Сред приложенията, разпространени като част от операцията, бяха модифицирани версии на приложение за футболни предавания на живо, приложението Instagram и др.

Използването на Zombinder позволява на нападателите да запазят оригиналната функционалност на избраните приложения, което ги кара да изглеждат много по-малко подозрителни за жертвите. Zombinder постига този резултат чрез инжектиране на обфусциран зареждащ/дропер злонамерен софтуер в приложенията. След инсталирането програмата ще функционира според очакванията, докато не се покаже подкана, че приложението трябва да се актуализира. Ако потребителят приеме, иначе легитимно изглеждащото приложение ще извлече и изтегли заплахата Ermac на устройството.