Zombinder Malware-platform

Kwaadwillende aanvallers hebben een nieuwe manier gevonden om malware te verspreiden en nietsvermoedende slachtoffers te infecteren - door het gebruik van een Dark Net-platform genaamd 'Zombinder'. Met dit platform kunnen kwaadwillenden een corrupte code binden aan legitieme Android-applicaties, waardoor ze op een niet-detecteerbare manier kunnen worden verspreid.

De aanvalscampagnes werden ontdekt door cybersecurity-onderzoekers. Volgens hun bevindingen heeft de dreigende operatie duizenden slachtoffers gemaakt. Alleen al de Erbium Stealer -dreiging die als onderdeel van de aanval is ingezet, is erin geslaagd om 1.300 apparaten te infecteren.

Infectievectoren en geleverde malware

De cybercriminelen hebben een legitiem ogende website gemaakt om gebruikers te verleiden tot het downloaden van malware. De beschadigde site biedt gebruikers zogenaamd een aanvraag voor Wi-Fi-autorisatie. Bezoekers krijgen twee keuzes, afhankelijk van hun voorkeursplatform. Ze kunnen op de knoppen 'Downloaden voor Windows' of 'Downloaden voor Android' klikken. In beide gevallen zal de gedownloade applicatie de beschadigde code bevatten, maar de geïmplementeerde bedreigingen verschillen op basis van het systeem van de gebruiker.

Als de websitebezoekers op de knop 'Downloaden voor Windows' klikken, kunnen hun computers worden geïnfecteerd door de Erbium Stealer, de Laplas Clipper of de Aurora Info-stealer. Deze stukjes malware zijn geavanceerde tools die door cybercriminelen worden gebruikt om persoonlijke informatie te verzamelen, zoals wachtwoorden, creditcardnummers en bankgegevens. De bedreigingsactoren die deze soorten gebruiken, kopen er doorgaans toegang toe van de oorspronkelijke ontwikkelaars voor een paar honderd dollar per maand. Eenmaal in een computer kunnen deze bedreigingen aanzienlijke schade aanrichten.

Aan de andere kant leidt de knop 'Downloaden voor Android' naar een voorbeeld van de Ermac Banking Trojan , door de infosec-onderzoekers geclassificeerd als Ermac.C. Deze bedreigende variant heeft veel schadelijke functies, waaronder de mogelijkheid om applicaties te overlappen voor diefstal van persoonlijke informatie, keylogging, het verzamelen van e-mails van Gmail-applicaties, het onderscheppen van tweefactorauthenticatiecodes en het verzamelen van seed-zinnen uit verschillende cryptocurrency-portemonnees.

Het Zombinder-platform maakt gebruik van legitieme toepassingen

De Android-tak van de dreigende campagne maakte gebruik van een Dark Net-service genaamd 'Zombinder'. Het platform is in staat om gecompromitteerde APK's te koppelen aan anderszins legitieme Android-applicaties. Volgens de experts werd Zombinder voor het eerst gelanceerd in maart 2022 en begint het sindsdien aan populariteit te winnen onder cybercriminelen. Onder de applicaties die als onderdeel van de operatie werden verspreid, bevonden zich aangepaste versies van een livestreaming-applicatie voor voetbal, de Instagram-applicatie, enz.

Door Zombinder te gebruiken, kunnen aanvallers de oorspronkelijke functionaliteit van de gekozen applicaties behouden, waardoor ze veel minder verdacht overkomen op de slachtoffers. Zombinder bereikt dit resultaat door een verborgen malware-loader/dropper in de applicaties te injecteren. Na installatie zal het programma werken zoals verwacht, totdat er een melding wordt weergegeven dat de applicatie moet worden bijgewerkt. Als de gebruiker accepteert, zal de anderszins legitiem ogende applicatie de Ermac-dreiging ophalen en downloaden naar het apparaat.