Platforma Zombinder Malware

Nešťastní aktéři hrozeb našli nový způsob, jak šířit malware a infikovat nic netušící oběti – pomocí platformy Dark Net s názvem „Zombinder“. Tato platforma umožňuje aktérům hrozeb vázat poškozený kód na legitimní aplikace pro Android, což umožňuje jejich distribuci nezjistitelným způsobem.

Útočné kampaně objevili výzkumníci kybernetické bezpečnosti. Podle jejich zjištění se hrozivé operaci podařilo zasáhnout tisíce obětí. Ve skutečnosti jen hrozba Erbium Stealer nasazená v rámci útoku dokázala infikovat 1300 zařízení.

Infekční vektory a dodaný malware

Kyberzločinci vytvořili legitimně vypadající webovou stránku jako návnadu, jak přimět uživatele ke stažení malwaru. Poškozený web údajně poskytuje uživatelům aplikaci pro autorizaci Wi-Fi. Návštěvníci mají k dispozici dvě možnosti v závislosti na preferované platformě. Mohou kliknout buď na tlačítka „Stáhnout pro Windows“ nebo „Stáhnout pro Android“. V obou případech bude stažená aplikace nést poškozený kód, ale nasazené hrozby se liší v závislosti na systému uživatele.

Pokud návštěvníci webu kliknou na tlačítko 'Stáhnout pro Windows', mohou mít své počítače infikovány Erbium Stealer, Laplas Clipper nebo Aurora Info-stealer. Tyto části malwaru jsou sofistikované nástroje používané kyberzločinci ke shromažďování osobních údajů, jako jsou hesla, čísla kreditních karet a bankovní údaje. Aktéři hrozeb používající tyto kmeny si k nim obvykle kupují přístup od původních vývojářů za několik stovek amerických dolarů měsíčně. Jakmile se tyto hrozby dostanou do počítače, mohou způsobit značné škody.

Na druhou stranu tlačítko 'Stáhnout pro Android' vede k ukázce trojského koně Ermac Banking , klasifikovaného výzkumníky infosec jako Ermac.C. Tato hrozivá varianta má mnoho škodlivých funkcí, včetně schopnosti překrýt aplikace pro krádež osobních informací, keylogging, shromažďování e-mailů z aplikací Gmail, zachycování dvoufaktorových ověřovacích kódů a shromažďování počátečních frází z několika kryptoměnových peněženek.

Platforma Zombinder vyzbrojuje legitimní aplikace

Větev hrozivé kampaně pro Android využívala službu Dark Net s názvem „Zombinder“. Platforma je schopna připojit kompromitované soubory APK k jinak legitimním aplikacím pro Android. Podle odborníků byl Zombinder poprvé spuštěn již v březnu 2022 a od té doby se začal prosazovat mezi kyberzločinci. Mezi aplikacemi distribuovanými v rámci provozu byly upravené verze aplikace pro živé přenosy fotbalu, aplikace Instagram atd.

Použití Zombinderu umožňuje útočníkům zachovat původní funkčnost vybraných aplikací, díky čemuž budou obětem mnohem méně podezřelé. Zombinder dosahuje tohoto výsledku tím, že do aplikací vpraví obfuskovaný zavaděč/dropper malwaru. Po instalaci bude program fungovat očekávaným způsobem, dokud se nezobrazí výzva, že je třeba aplikaci aktualizovat. Pokud uživatel přijme, jinak legitimně vypadající aplikace načte a stáhne hrozbu Ermac do zařízení.