Platforma malware Zombinder

Actorii de amenințări răi au găsit o nouă modalitate de a răspândi programe malware și de a infecta victime nebănuitoare - prin utilizarea unei platforme Dark Net numită „Zombinder”. Această platformă permite actorilor de amenințări să lege un cod corupt de aplicații Android legitime, permițându-le să fie distribuite într-un mod nedetectabil.

Campaniile de atac au fost descoperite de cercetătorii în securitate cibernetică. Conform constatărilor lor, operațiunea de amenințare a reușit să afecteze mii de victime. De fapt, doar amenințarea Erbium Stealer desfășurată ca parte a atacului a reușit să infecteze 1.300 de dispozitive.

Vectori de infecție și programe malware livrate

Infractorii cibernetici au creat un site web cu aspect legitim ca o momeală pentru a păcăli utilizatorii să descarce programe malware. Site-ul corupt se presupune că oferă utilizatorilor o aplicație pentru autorizarea Wi-Fi. Vizitatorii au două opțiuni, în funcție de platforma preferată. Aceștia pot face clic fie pe butoanele „Descărcare pentru Windows”, fie pe butoanele „Descărcare pentru Android”. În ambele cazuri, aplicația descărcată va transporta codul corupt, dar amenințările implementate diferă în funcție de sistemul utilizatorului.

Dacă vizitatorii site-ului dau clic pe butonul „Descărcare pentru Windows”, este posibil ca computerele lor să fie infectate de Erbium Stealer, Laplas Clipper sau Aurora Info-stealer. Aceste programe malware sunt instrumente sofisticate folosite de infractorii cibernetici pentru a colecta informații personale, cum ar fi parole, numere de card de credit și detalii bancare. Actorii amenințărilor care folosesc aceste tulpini cumpără de obicei acces la ele de la dezvoltatorii inițiali pentru câteva sute de dolari SUA pe lună. Odată ajunse în interiorul unui computer, aceste amenințări pot provoca daune semnificative.

Pe de altă parte, butonul „Descărcare pentru Android” duce la un eșantion de troian Ermac Banking , clasificat de cercetătorii infosec drept Ermac.C. Această variantă amenințătoare are multe funcții dăunătoare, inclusiv capacitatea de a suprapune aplicații pentru furtul de informații personale, înregistrarea tastelor, colectarea de e-mailuri din aplicațiile Gmail, interceptarea codurilor de autentificare cu doi factori și colectarea frazelor de bază din mai multe portofele criptomonede.

Platforma Zombinder armează aplicațiile legitime

Ramura Android a campaniei amenințătoare a folosit un serviciu Dark Net numit „Zombinder”. Platforma este capabilă să atașeze APK-uri compromise la aplicații Android altfel legitime. Potrivit experților, Zombinder a fost lansat pentru prima dată în martie 2022 și, de atunci, a început să câștige tracțiune printre infractorii cibernetici. Printre aplicațiile distribuite în cadrul operațiunii, au fost modificate versiuni ale unei aplicații de live-streaming fotbal, aplicația Instagram etc.

Utilizarea Zombinder permite atacatorilor să păstreze funcționalitatea originală a aplicațiilor alese, făcându-le să pară mult mai puțin suspecte pentru victime. Zombinder atinge acest rezultat prin injectarea unui încărcător/dropper de malware ofuscat în aplicații. După instalare, programul va funcționa conform așteptărilor, până când este afișat un prompt care susține că aplicația trebuie actualizată. Dacă utilizatorul acceptă, aplicația cu aspect altfel legitim va prelua și descărca amenințarea Ermac pe dispozitiv.