Zombinder 악성코드 플랫폼

악의에 찬 위협 행위자들은 'Zombinder'라는 다크넷 플랫폼을 사용하여 맬웨어를 퍼뜨리고 순진한 피해자를 감염시키는 새로운 방법을 찾았습니다. 이 플랫폼을 통해 공격자는 손상된 코드를 합법적인 Android 애플리케이션에 바인딩하여 감지할 수 없는 방식으로 배포할 수 있습니다.

공격 캠페인은 사이버 보안 연구원에 의해 발견되었습니다. 조사 결과에 따르면 이 위협적인 작전은 수천 명의 희생자에게 영향을 미쳤습니다. 실제로 공격의 일부로 배포된 Erbium Stealer 위협만으로도 1,300개의 장치가 감염되었습니다.

감염 벡터 및 전달된 맬웨어

사이버 범죄자들은 사용자가 맬웨어를 다운로드하도록 속이기 위한 미끼로 합법적으로 보이는 웹 사이트를 만들었습니다. 손상된 사이트는 사용자에게 Wi-Fi 인증을 위한 애플리케이션을 제공하는 것으로 추정됩니다. 방문자는 선호하는 플랫폼에 따라 두 가지 선택이 제공됩니다. 'Windows용 다운로드' 또는 'Android용 다운로드' 버튼을 클릭할 수 있습니다. 두 경우 모두 다운로드한 응용 프로그램에 손상된 코드가 포함되지만 배포된 위협은 사용자 시스템에 따라 다릅니다.

웹 사이트 방문자가 'Windows용 다운로드' 버튼을 클릭하면 컴퓨터가 Erbium Stealer, Laplas Clipper 또는 Aurora Info-stealer에 감염되었을 수 있습니다. 이러한 맬웨어는 암호, 신용 카드 번호 및 은행 세부 정보와 같은 개인 정보를 수집하기 위해 사이버 범죄자가 사용하는 정교한 도구입니다. 이러한 변종을 사용하는 위협 행위자는 일반적으로 한 달에 수백 달러에 원래 개발자로부터 해당 변종에 대한 액세스 권한을 구입합니다. 컴퓨터 내부에 들어가면 이러한 위협은 심각한 피해를 입힐 수 있습니다.

한편, 'Android용 다운로드' 버튼은 infosec 연구원이 Ermac.C로 분류한 Ermac Banking Trojan 샘플로 연결됩니다. 이 위협적인 변종은 개인 정보 도용을 위한 애플리케이션 오버레이 기능, 키로깅, Gmail 애플리케이션에서 이메일 수집, 2단계 인증 코드 가로채기, 여러 암호화폐 지갑에서 시드 문구 수집 등 많은 유해 기능을 가지고 있습니다.

Zombinder 플랫폼은 합법적인 애플리케이션을 무기화합니다.

위협 캠페인의 Android 브랜치는 'Zombinder'라는 다크넷 서비스를 활용했습니다. 이 플랫폼은 손상된 APK를 합법적인 Android 애플리케이션에 연결할 수 있습니다. 전문가에 따르면 Zombinder는 2022년 3월에 처음 출시되었으며 그 이후로 사이버 범죄자들 사이에서 관심을 끌기 시작했습니다. 작전의 일환으로 배포된 애플리케이션 중에는 축구 생중계 애플리케이션, 인스타그램 애플리케이션 등의 수정 버전도 있었다.

Zombinder를 사용하면 공격자가 선택한 애플리케이션의 원래 기능을 보존하여 피해자에게 훨씬 덜 의심스럽게 보이게 할 수 있습니다. Zombinder는 난독화된 멀웨어 로더/드롭퍼를 애플리케이션에 주입하여 이러한 결과를 얻습니다. 설치 후 응용 프로그램을 업데이트해야 한다는 메시지가 표시될 때까지 프로그램은 예상대로 작동합니다. 사용자가 수락하면 합법적으로 보이는 응용 프로그램이 Ermac 위협 요소를 가져와 장치에 다운로드합니다.