Plataforma de programari maliciós Zombinder

Els actors d'amenaces malintencionats han trobat una nova manera de difondre programari maliciós i infectar víctimes desprevenides, mitjançant l'ús d'una plataforma Dark Net anomenada "Zombinder". Aquesta plataforma permet als actors d'amenaces vincular un codi corrupte a aplicacions legítimes d'Android, cosa que permet distribuir-los de manera indetectable.

Les campanyes d'atac van ser descobertes per investigadors de ciberseguretat. Segons les seves conclusions, l'operació amenaçadora ha aconseguit afectar milers de víctimes. De fet, només l'amenaça Erbium Stealer desplegada com a part de l'atac ha aconseguit infectar 1.300 dispositius.

Vectors d'infecció i programari maliciós lliurat

Els ciberdelinqüents han creat un lloc web d'aspecte legítim com un atractiu per enganyar els usuaris perquè baixin programari maliciós. El lloc corrupte suposadament proporciona als usuaris una aplicació per a l'autorització de Wi-Fi. Els visitants tenen dues opcions, depenent de la seva plataforma preferida. Poden fer clic als botons "Descarrega per a Windows" o "Descarrega per a Android". En ambdós casos, l'aplicació descarregada portarà el codi corrupte, però les amenaces desplegades difereixen segons el sistema de l'usuari.

Si els visitants del lloc web fan clic al botó "Descarrega per a Windows", pot ser que els seus ordinadors estiguin infectats per Erbium Stealer, Laplas Clipper o Aurora Info-stealer. Aquestes peces de programari maliciós són eines sofisticades que fan servir els ciberdelinqüents per recopilar informació personal, com ara contrasenyes, números de targetes de crèdit i dades bancàries. Els actors d'amenaça que utilitzen aquestes soques solen comprar-hi accés als desenvolupadors originals per uns quants centenars de dòlars americans al mes. Un cop dins d'un ordinador, aquestes amenaces poden causar danys importants.

D'altra banda, el botó 'Descarrega per a Android' porta a una mostra del troià Ermac Banking , classificat pels investigadors de l'infosec com a Ermac.C. Aquesta variant amenaçadora té moltes funcions perjudicials, com ara la capacitat de superposar aplicacions per robar informació personal, registre de tecles, recopilar correus electrònics d'aplicacions de Gmail, interceptar codis d'autenticació de dos factors i recopilar frases inicials de diverses carteres de criptomoneda.

La plataforma Zombinder arma aplicacions legítimes

La branca d'Android de la campanya amenaçadora va utilitzar un servei Dark Net anomenat "Zombinder". La plataforma és capaç d'adjuntar APK compromesos a aplicacions d'Android legítimes. Segons els experts, Zombinder es va llançar per primera vegada el març del 2022 i, des de llavors, ha començat a guanyar força entre els ciberdelinqüents. Entre les aplicacions distribuïdes com a part de l'operació, es van modificar versions d'una aplicació de retransmissió de futbol en directe, l'aplicació d'Instagram, etc.

L'ús de Zombinder permet als atacants preservar la funcionalitat original de les aplicacions escollides, fent-les semblar molt menys sospitoses per a les víctimes. Zombinder aconsegueix aquest resultat injectant un carregador/goper de programari maliciós ofuscat a les aplicacions. Després de la instal·lació, el programa funcionarà com s'esperava, fins que es mostri una indicació que indica que l'aplicació s'ha d'actualitzar. Si l'usuari accepta, l'aplicació d'aspecte legítim buscarà i descarregarà l'amenaça Ermac al dispositiu.