Zombinder Malware Platform

A rosszindulatú fenyegetés szereplői új módot találtak a rosszindulatú programok terjesztésére és a gyanútlan áldozatok megfertőzésére – a „Zombinder” nevű Dark Net platformon keresztül. Ez a platform lehetővé teszi a fenyegetések szereplői számára, hogy sérült kódot legális Android-alkalmazásokhoz kössenek, lehetővé téve azok észlelhetetlen terjesztését.

A támadási kampányokat kiberbiztonsági kutatók fedezték fel. Megállapításaik szerint a fenyegető akciónak több ezer áldozatot sikerült érintenie. Valójában csak a támadás részeként telepített Erbium Stealer fenyegetés 1300 eszközt tudott megfertőzni.

Fertőzés vektorok és szállított rosszindulatú programok

A kiberbűnözők létrehoztak egy törvényes megjelenésű webhelyet, hogy rávegyék a felhasználókat rosszindulatú programok letöltésére. A sérült webhely állítólag egy Wi-Fi-engedélyezési alkalmazást biztosít a felhasználóknak. A látogatók két választási lehetőség közül választhatnak, attól függően, hogy melyik platformot választják. Rákattinthatnak a „Letöltés Windowshoz” vagy a „Letöltés Androidra” gombra. Mindkét esetben a letöltött alkalmazás tartalmazza a sérült kódot, de a telepített fenyegetések a felhasználó rendszerétől függően eltérőek.

Ha a webhely látogatói a „Letöltés Windowshoz” gombra kattintanak, előfordulhat, hogy számítógépüket megfertőzte az Erbium Stealer, a Laplas Clipper vagy az Aurora Info-Stealer. Ezek a rosszindulatú programok olyan kifinomult eszközök, amelyeket a kiberbűnözők személyes adatok, például jelszavak, hitelkártyaszámok és banki adatok gyűjtésére használnak. Az ezeket a törzseket használó fenyegetés szereplői általában havi néhány száz dollárért vásárolnak hozzáférést az eredeti fejlesztőktől. A számítógépbe kerülve ezek a fenyegetések jelentős károkat okozhatnak.

Másrészt a „Letöltés Androidra” gomb az Ermac Banking Trojan mintájához vezet, amelyet az infosec kutatói az Ermac.C-nek minősítettek. Ennek a fenyegető változatnak számos káros funkciója van, beleértve a személyes adatok ellopását célzó alkalmazások átfedésének képességét, a billentyűnaplózást, az e-mailek begyűjtését a Gmail-alkalmazásokból, a kéttényezős hitelesítési kódok lehallgatását és a magfrázisok begyűjtését számos kriptovaluta pénztárcából.

A Zombinder platform felfegyverzi a legális alkalmazásokat

A fenyegető kampány Android-ága a „Zombinder” nevű Dark Net szolgáltatást használta. A platform képes feltört APK-kat csatolni az egyébként legitim Android-alkalmazásokhoz. A szakértők szerint a Zombinder először 2022 márciusában indult, és azóta kezdett elterjedni a kiberbűnözők körében. A művelet részeként terjesztett alkalmazások között volt egy futball élő közvetítő alkalmazás módosított verziója, az Instagram alkalmazás stb.

A Zombinder használatával a támadók megőrzik a kiválasztott alkalmazások eredeti funkcióit, így azok sokkal kevésbé tűnnek gyanúsnak az áldozatok számára. A Zombinder ezt az eredményt úgy éri el, hogy egy elhomályosított rosszindulatú programbetöltőt/droppert injektál az alkalmazásokba. A telepítés után a program a várt módon fog működni, amíg meg nem jelenik az alkalmazás frissítésére vonatkozó üzenet. Ha a felhasználó elfogadja, az egyébként jogosnak tűnő alkalmazás lekéri és letölti az Ermac fenyegetést az eszközre.