Zombinder ļaunprātīgas programmatūras platforma

Neapdomīgie draudu dalībnieki ir atraduši jaunu veidu, kā izplatīt ļaunprātīgu programmatūru un inficēt nenojaušus upurus — izmantojot Dark Net platformu ar nosaukumu Zombinder. Šī platforma ļauj apdraudējuma dalībniekiem saistīt bojātu kodu ar likumīgām Android lietojumprogrammām, ļaujot tās izplatīt nenosakāmā veidā.

Uzbrukumu kampaņas atklāja kiberdrošības pētnieki. Saskaņā ar viņu atklājumiem draudu operācijai ir izdevies ietekmēt tūkstošiem upuru. Faktiski tikai Erbium Stealer draudi, kas tika izvietoti kā daļa no uzbrukuma, ir spējuši inficēt 1300 ierīces.

Infekcijas vektori un piegādātā ļaunprogrammatūra

Kibernoziedznieki ir izveidojuši likumīga izskata vietni, lai mudinātu lietotājus lejupielādēt ļaunprātīgu programmatūru. Tiek uzskatīts, ka bojātā vietne nodrošina lietotājiem Wi-Fi autorizācijas lietojumprogrammu. Apmeklētājiem tiek piedāvātas divas izvēles iespējas atkarībā no viņu vēlamās platformas. Viņi var noklikšķināt uz pogas Lejupielādēt operētājsistēmai Windows vai Lejupielādēt operētājsistēmai Android. Abos gadījumos lejupielādētajā lietojumprogrammā būs bojāts kods, taču izvietotie draudi atšķiras atkarībā no lietotāja sistēmas.

Ja vietnes apmeklētāji noklikšķina uz pogas Lejupielādēt operētājsistēmai Windows, viņu datori var būt inficēti ar Erbium Stealer, Laplas Clipper vai Aurora Info-stealer. Šīs ļaunprātīgās programmatūras daļas ir sarežģīti rīki, ko kibernoziedznieki izmanto, lai vāktu personisku informāciju, piemēram, paroles, kredītkaršu numurus un bankas datus. Apdraudējuma dalībnieki, kas izmanto šos celmus, parasti pērk piekļuvi tiem no sākotnējiem izstrādātājiem par dažiem simtiem ASV dolāru mēnesī. Nokļūstot datorā, šie draudi var radīt ievērojamus bojājumus.

No otras puses, poga “Lejupielādēt Android ierīcēm” noved pie Ermac Banking Trojas zirga parauga, ko infosec pētnieki klasificējuši kā Ermac.C. Šim draudīgajam variantam ir daudzas kaitīgas funkcijas, tostarp iespēja pārklāt lietojumprogrammas personiskās informācijas zādzībai, taustiņu reģistrēšana, e-pasta ziņojumu apkopošana no Gmail lietojumprogrammām, divu faktoru autentifikācijas kodu pārtveršana un sākuma frāžu apkopošana no vairākiem kriptovalūtu makiem.

Platforma Zombinder apbruņo likumīgas lietojumprogrammas

Draudošās kampaņas Android filiāle izmantoja Dark Net pakalpojumu ar nosaukumu "Zombinder". Platforma spēj pievienot apdraudētus APK failus citādi likumīgām Android lietojumprogrammām. Pēc ekspertu domām, Zombinder pirmo reizi tika palaists 2022. gada martā un kopš tā laika ir sācis iekarot kibernoziedzniekus. Starp operācijas ietvaros izplatītajām lietojumprogrammām bija modificētas futbola tiešraides lietojumprogrammas versijas, Instagram lietojumprogramma utt.

Izmantojot Zombinder, uzbrucēji var saglabāt izvēlēto lietojumprogrammu sākotnējo funkcionalitāti, padarot tās upuriem daudz mazāk aizdomīgas. Zombinder panāk šo rezultātu, lietojumprogrammās ievadot neskaidru ļaunprātīgas programmatūras ielādētāju/pilinātāju. Pēc instalēšanas programma darbosies, kā paredzēts, līdz tiek parādīta uzvedne, kas apgalvo, ka lietojumprogramma ir jāatjaunina. Ja lietotājs piekrīt, citādi likumīgā izskata lietojumprogramma ienes un lejupielādēs Ermac draudus ierīcē.