Zombinder Malware Platform

Agentes de ameaças mal-intencionados encontraram uma nova maneira de espalhar malware e infectar vítimas inocentes - por meio do uso de uma plataforma da Dark Net chamada 'Zombinder'. Essa plataforma permite que os invasores vinculem um código corrompido a aplicativos Android legítimos, permitindo que sejam distribuídos de maneira indetectável.

As campanhas de ataque foram descobertas por pesquisadores de segurança cibernética. De acordo com suas descobertas, a operação ameaçadora conseguiu impactar milhares de vítimas. Na verdade, apenas a ameaça Erbium Stealer implantada como parte do ataque conseguiu infectar 1.300 dispositivos.

Vetores de Infecção e Malware Distribuído

Os cibercriminosos criaram um site com aparência legítima como uma isca para induzir os usuários a baixar malware. O site corrompido supostamente fornece aos usuários um aplicativo para autorização de Wi-Fi. Os visitantes têm duas opções, dependendo de sua plataforma preferida. Eles podem clicar nos botões 'Download para Windows' ou 'Download para Android'. Em ambos os casos, o aplicativo baixado carregará o código corrompido, mas as ameaças implantadas diferem com base no sistema do usuário.

Se os visitantes do site clicarem no botão 'Download for Windows', eles podem ter seus computadores infectados pelo Erbium Stealer, Laplas Clipper ou Aurora Info-stealer. Esses malwares são ferramentas sofisticadas usadas por cibercriminosos para coletar informações pessoais, como senhas, números de cartão de crédito e dados bancários. Os agentes de ameaças que usam essas variedades geralmente compram acesso a eles dos desenvolvedores originais por algumas centenas de dólares americanos por mês. Uma vez dentro de um computador, essas ameaças podem causar danos significativos.

Por outro lado, o botão 'Download for Android' leva a uma amostra do Ermac Banking Trojan, classificado pelos pesquisadores da infosec como Ermac.C. Essa variante ameaçadora tem muitas funções prejudiciais, incluindo a capacidade de sobrepor aplicativos para roubo de informações pessoais, keylogging, coleta de e-mails de aplicativos do Gmail, interceptação de códigos de autenticação de dois fatores e coleta de frases-semente de várias carteiras de criptomoedas.

A Plataforma Zombinder Corrompe Aplicativos Legítimos

A ramificação Android da campanha ameaçadora utilizou um serviço da Dark Net chamado 'Zombinder'. A plataforma é capaz de anexar APKs comprometidos a aplicativos Android legítimos. De acordo com os especialistas, o Zombinder foi lançado pela primeira vez em março de 2022 e, desde então, começou a ganhar força entre os cibercriminosos. Entre os aplicativos distribuídos como parte da operação, estavam versões modificadas de um aplicativo de transmissão ao vivo de futebol, do aplicativo Instagram etc.

O uso do Zombinder permite que os invasores preservem a funcionalidade original dos aplicativos escolhidos, fazendo com que pareçam muito menos suspeitos para as vítimas. O Zombinder alcança esse resultado injetando um carregador/conta-gotas de malware ofuscado nos aplicativos. Após a instalação, o programa funcionará conforme o esperado, até que seja exibido um prompt informando que o aplicativo precisa ser atualizado. Se o usuário aceitar, o aplicativo de aparência legítima buscará e baixará a ameaça Ermac para o dispositivo.