Threat Database Mobile Malware Zombinder-haittaohjelmaalusta

Zombinder-haittaohjelmaalusta

Huonosti ajattelevat uhkatoimijat ovat löytäneet uuden tavan levittää haittaohjelmia ja tartuttaa pahaa aavistamattomia uhreja käyttämällä Dark Net -alustaa nimeltä "Zombinder". Tämän alustan avulla uhkatekijät voivat sitoa vioittuneen koodin laillisiin Android-sovelluksiin, jolloin niitä voidaan levittää havaitsemattomalla tavalla.

Hyökkäyskampanjat löysivät kyberturvallisuustutkijat. Heidän havaintojensa mukaan uhkaava operaatio on onnistunut vaikuttamaan tuhansiin uhreihin. Itse asiassa vain osana hyökkäystä käytetty Erbium Stealer -uhka on onnistunut saastuttamaan 1 300 laitetta.

Infektiovektorit ja toimitetut haittaohjelmat

Kyberrikolliset ovat luoneet laillisen näköisen verkkosivuston houkutellakseen huijata käyttäjiä lataamaan haittaohjelmia. Vioittunut sivusto tarjoaa käyttäjille sovelluksen Wi-Fi-valtuutusta varten. Vierailijoille tarjotaan kaksi vaihtoehtoa haluamansa alustan mukaan. He voivat napsauttaa joko "Lataa Windowsille"- tai "Lataa Androidille" -painikkeita. Molemmissa tapauksissa ladattu sovellus sisältää vioittunutta koodia, mutta käyttöönotetut uhat vaihtelevat käyttäjän järjestelmän mukaan.

Jos verkkosivuston vierailijat napsauttavat "Lataa Windowsille" -painiketta, heidän tietokoneinsa voi olla Erbium Stealer, Laplas Clipper tai Aurora Info-stealer -tartunnan saaneet. Nämä haittaohjelmat ovat kehittyneitä työkaluja, joita verkkorikolliset käyttävät kerätäkseen henkilökohtaisia tietoja, kuten salasanoja, luottokorttien numeroita ja pankkitietoja. Näitä kantoja käyttävät uhkatoimijat ostavat tyypillisesti pääsyn niihin alkuperäisiltä kehittäjiltä muutamalla sadalla dollarilla kuukaudessa. Tietokoneen sisällä nämä uhat voivat aiheuttaa merkittäviä vahinkoja.

Toisaalta "Download for Android" -painike johtaa Ermac Banking -troijalaisen näytteeseen, jonka infosec-tutkijat ovat luokitelleet nimellä Ermac.C. Tällä uhkaavalla versiolla on monia haitallisia toimintoja, mukaan lukien kyky peittää sovelluksia henkilökohtaisten tietojen varastamista varten, näppäinten kirjaaminen, sähköpostien kerääminen Gmail-sovelluksista, kaksivaiheisten todennuskoodien sieppaaminen ja siemenlauseiden kerääminen useista kryptovaluuttalompakoista.

Zombinder-alusta aseistaa laillisia sovelluksia

Uhkailukampanjan Android-haara käytti Dark Net -palvelua nimeltä "Zombinder". Alusta pystyy liittämään vaarantuneet APK:t muuten laillisiin Android-sovelluksiin. Asiantuntijoiden mukaan Zombinder lanseerattiin ensimmäisen kerran jo maaliskuussa 2022, ja siitä lähtien se on alkanut saada vetoa kyberrikollisten keskuudessa. Operaation osana jaettujen sovellusten joukossa oli muunneltuja versioita jalkapallon suoratoistosovelluksesta, Instagram-sovelluksesta jne.

Zombinderin avulla hyökkääjät voivat säilyttää valittujen sovellusten alkuperäiset toiminnot, jolloin ne näyttävät uhreille paljon vähemmän epäilyttävältä. Zombinder saavuttaa tämän tuloksen ruiskuttamalla sovelluksiin hämärän haittaohjelmien latausohjelman. Asennuksen jälkeen ohjelma toimii odotetusti, kunnes näyttöön tulee kehote, jossa väitetään, että sovellus on päivitettävä. Jos käyttäjä hyväksyy, muuten laillisen näköinen sovellus hakee ja lataa Ermac-uhan laitteelle.

Trendaavat

Eniten katsottu

Ladataan...