Threat Database Mobile Malware Platforma zlonamjernog softvera Zombinder

Platforma zlonamjernog softvera Zombinder

Zlonamjerni akteri prijetnji pronašli su novi način širenja zlonamjernog softvera i zaraze žrtava koje ništa ne sumnjaju - korištenjem platforme Dark Net pod nazivom 'Zombinder'. Ova platforma omogućuje akterima prijetnji da vežu oštećeni kod na legitimne Android aplikacije, omogućujući njihovu distribuciju na način koji se ne može otkriti.

Kampanje napada otkrili su istraživači kibernetičke sigurnosti. Prema njihovim nalazima, prijeteća operacija uspjela je utjecati na tisuće žrtava. Zapravo, samo prijetnja Erbium Stealer postavljena kao dio napada uspjela je zaraziti 1300 uređaja.

Vektori infekcije i isporučeni zlonamjerni softver

Kibernetički kriminalci stvorili su web stranicu legitimnog izgleda kao mamac za prevaru korisnika da preuzmu zlonamjerni softver. Oštećena stranica korisnicima navodno daje aplikaciju za Wi-Fi autorizaciju. Posjetiteljima su na raspolaganju dva izbora, ovisno o željenoj platformi. Mogu kliknuti gumbe "Preuzmi za Windows" ili "Preuzmi za Android". U oba slučaja, preuzeta aplikacija sadržavat će oštećeni kod, ali postavljene prijetnje razlikuju se ovisno o sustavu korisnika.

Ako posjetitelji web stranice kliknu na gumb 'Preuzmi za Windows', njihova računala mogu biti zaražena programom Erbium Stealer, Laplas Clipper ili Aurora Info-stealer. Ovi komadi zlonamjernog softvera sofisticirani su alati koje kibernetički kriminalci koriste za prikupljanje osobnih podataka, poput lozinki, brojeva kreditnih kartica i bankovnih podataka. Akteri prijetnji koji koriste te sojeve obično kupuju pristup njima od izvornih programera za nekoliko stotina američkih dolara mjesečno. Jednom kada uđu u računalo, ove prijetnje mogu uzrokovati značajnu štetu.

S druge strane, gumb 'Preuzmi za Android' vodi do uzorka Ermac Banking Trojana , kojeg su istraživači Infosec-a klasificirali kao Ermac.C. Ova prijeteća varijanta ima mnoge štetne funkcije, uključujući mogućnost preklapanja aplikacija za krađu osobnih podataka, keylogging, prikupljanje e-pošte iz Gmail aplikacija, presretanje dvofaktorskih kodova za autentifikaciju i prikupljanje početnih fraza iz nekoliko novčanika kriptovaluta.

Platforma Zombinder koristi legitimne aplikacije kao oružje

Android ogranak prijeteće kampanje koristio je uslugu Dark Net pod nazivom 'Zombinder'. Platforma može priložiti kompromitirane APK-ove inače legitimnim Android aplikacijama. Prema riječima stručnjaka, Zombinder je prvi put lansiran u ožujku 2022. i od tada je počeo dobivati na popularnosti među kibernetičkim kriminalcima. Među aplikacijama koje su distribuirane u sklopu operacije bile su modificirane verzije aplikacije za prijenos nogometa uživo, aplikacije za Instagram itd.

Korištenje Zombindera omogućuje napadačima da sačuvaju izvornu funkcionalnost odabranih aplikacija, čineći ih daleko manje sumnjivima žrtvama. Zombinder postiže ovaj rezultat ubacivanjem maskiranog učitavača/droppera zlonamjernog softvera u aplikacije. Nakon instalacije, program će raditi prema očekivanjima, sve dok se ne prikaže upit koji tvrdi da je aplikaciju potrebno ažurirati. Ako korisnik prihvati, aplikacija inače legitimnog izgleda će dohvatiti i preuzeti Ermac prijetnju na uređaj.

U trendu

Nagledanije

Učitavam...