Threat Database Mobile Malware Platforma złośliwego oprogramowania Zombinder

Platforma złośliwego oprogramowania Zombinder

Bezmyślni cyberprzestępcy znaleźli nowy sposób rozprzestrzeniania złośliwego oprogramowania i infekowania niczego niepodejrzewających ofiar — poprzez wykorzystanie platformy Dark Net o nazwie „Zombinder”. Ta platforma umożliwia cyberprzestępcom powiązanie uszkodzonego kodu z legalnymi aplikacjami na Androida, umożliwiając ich dystrybucję w niewykrywalny sposób.

Kampanie ataków zostały odkryte przez badaczy cyberbezpieczeństwa. Według ich ustaleń groźna operacja zdołała wpłynąć na tysiące ofiar. W rzeczywistości tylko zagrożenie Erbium Stealer wdrożone w ramach ataku zdołało zainfekować 1300 urządzeń.

Wektory infekcji i dostarczane złośliwe oprogramowanie

Cyberprzestępcy stworzyli legalnie wyglądającą witrynę internetową jako przynętę, aby nakłonić użytkowników do pobrania złośliwego oprogramowania. Uszkodzona witryna rzekomo udostępnia użytkownikom aplikację do autoryzacji Wi-Fi. Odwiedzający mają do wyboru dwie opcje, w zależności od preferowanej platformy. Mogą kliknąć przycisk „Pobierz na Windows” lub „Pobierz na Androida”. W obu przypadkach pobrana aplikacja będzie zawierać uszkodzony kod, ale wdrożone zagrożenia różnią się w zależności od systemu użytkownika.

Jeśli odwiedzający witrynę klikną przycisk „Pobierz dla systemu Windows”, ich komputery mogą zostać zainfekowane Erbium Stealer, Laplas Clipper lub Aurora Info-stealer. Te złośliwe oprogramowanie to wyrafinowane narzędzia wykorzystywane przez cyberprzestępców do zbierania danych osobowych, takich jak hasła, numery kart kredytowych i dane bankowe. Cyberprzestępcy korzystający z tych szczepów zwykle kupują dostęp do nich od oryginalnych programistów za kilkaset dolarów miesięcznie. Po przedostaniu się do komputera zagrożenia te mogą spowodować znaczne szkody.

Z drugiej strony przycisk „Pobierz na Androida” prowadzi do próbki trojana bankowego Ermac , sklasyfikowanego przez badaczy infosec jako Ermac.C. Ten groźny wariant ma wiele szkodliwych funkcji, w tym możliwość nakładania aplikacji w celu kradzieży danych osobowych, keyloggera, zbierania wiadomości e-mail z aplikacji Gmail, przechwytywania kodów uwierzytelniania dwuskładnikowego oraz zbierania fraz początkowych z kilku portfeli kryptowalut.

Platforma Zombinder staje się bronią dla legalnych aplikacji

Oddział groźnej kampanii na Androida wykorzystywał usługę Dark Net o nazwie „Zombinder”. Platforma może dołączać skompromitowane pliki APK do legalnych aplikacji na Androida. Według ekspertów Zombinder został po raz pierwszy uruchomiony w marcu 2022 roku i od tego czasu zaczął zyskiwać na popularności wśród cyberprzestępców. Wśród aplikacji dystrybuowanych w ramach operacji znalazły się zmodyfikowane wersje aplikacji do transmisji na żywo w piłce nożnej, aplikacji Instagram itp.

Korzystanie z Zombindera umożliwia atakującym zachowanie oryginalnej funkcjonalności wybranych aplikacji, dzięki czemu wydają się one znacznie mniej podejrzane dla ofiar. Zombinder osiąga ten wynik poprzez wstrzyknięcie do aplikacji zaciemnionego programu ładującego/droppera złośliwego oprogramowania. Po zainstalowaniu program będzie funkcjonował zgodnie z oczekiwaniami, do momentu wyświetlenia monitu informującego o konieczności aktualizacji aplikacji. Jeśli użytkownik wyrazi zgodę, wyglądająca na legalną aplikację pobierze i pobierze zagrożenie Ermac na urządzenie.

Popularne

Najczęściej oglądane

Ładowanie...