Threat Database Mobile Malware Платформа вредоносных программ Zombinder

Платформа вредоносных программ Zombinder

Злоумышленники нашли новый способ распространения вредоносного ПО и заражения ничего не подозревающих жертв с помощью платформы Dark Net под названием «Zombinder». Эта платформа позволяет злоумышленникам привязывать поврежденный код к законным приложениям Android, что позволяет распространять их незаметным образом.

Кампании атак были обнаружены исследователями кибербезопасности. Согласно их выводам, в результате угрожающей операции пострадали тысячи человек. Фактически, только угроза Erbium Stealer , развернутая в рамках атаки, смогла заразить 1300 устройств.

Векторы заражения и доставляемое вредоносное ПО

Киберпреступники создали законно выглядящий веб-сайт в качестве приманки, чтобы заставить пользователей загружать вредоносное ПО. Поврежденный сайт якобы предоставляет пользователям приложение для авторизации Wi-Fi. Посетителям предоставляется два варианта, в зависимости от предпочитаемой ими платформы. Они могут нажать кнопку «Загрузить для Windows» или «Загрузить для Android». В обоих случаях загруженное приложение будет содержать поврежденный код, но развернутые угрозы различаются в зависимости от системы пользователя.

Если посетители веб-сайта нажимают кнопку «Загрузить для Windows», их компьютеры могут быть заражены Erbium Stealer, Laplas Clipper или Aurora Info-stealer. Эти вредоносные программы представляют собой сложные инструменты, используемые киберпреступниками для сбора личной информации, такой как пароли, номера кредитных карт и банковские реквизиты. Злоумышленники, использующие эти штаммы, обычно покупают доступ к ним у первоначальных разработчиков за несколько сотен долларов США в месяц. Попав внутрь компьютера, эти угрозы могут нанести значительный ущерб.

С другой стороны, кнопка «Загрузить для Android» ведет к образцу банковского трояна Ermac , классифицированного исследователями информационной безопасности как Ermac.C. Этот опасный вариант имеет множество вредоносных функций, в том числе возможность наложения приложений для кражи личной информации, кейлоггинг, сбор электронных писем из приложений Gmail, перехват кодов двухфакторной аутентификации и сбор начальных фраз из нескольких криптовалютных кошельков.

Платформа Zombinder превращает законные приложения в оружие

Ответвление угрожающей кампании для Android использовало службу даркнета под названием «Zombinder». Платформа способна прикреплять скомпрометированные APK к законным приложениям Android. По словам экспертов, Zombinder впервые был запущен еще в марте 2022 года и с тех пор начал набирать популярность среди киберпреступников. Среди приложений, распространяемых в рамках операции, были модифицированные версии приложения для прямых трансляций футбола, приложения Instagram и т. д.

Использование Zombinder позволяет злоумышленникам сохранить исходную функциональность выбранных приложений, что делает их гораздо менее подозрительными для жертв. Zombinder достигает этого результата, внедряя в приложения запутанный вредоносный загрузчик/дроппер. После установки программа будет работать должным образом, пока не появится сообщение о необходимости обновления приложения. Если пользователь соглашается, приложение, в остальном выглядящее законным, извлечет и загрузит угрозу Ermac на устройство.

В тренде

Наиболее просматриваемые

Загрузка...