Threat Database Mobile Malware Platforma Zombinder Malware

Platforma Zombinder Malware

Zlomyslní aktéri hrozieb našli nový spôsob, ako šíriť malvér a infikovať nič netušiace obete – pomocou platformy Dark Net s názvom „Zombinder“. Táto platforma umožňuje aktérom hrozieb viazať poškodený kód na legitímne aplikácie Android, čo umožňuje ich distribúciu nezistiteľným spôsobom.

Útočné kampane objavili výskumníci v oblasti kybernetickej bezpečnosti. Podľa ich zistení sa hrozivej operácii podarilo zasiahnuť tisíce obetí. V skutočnosti len hrozba Erbium Stealer nasadená ako súčasť útoku dokázala infikovať 1 300 zariadení.

Infekčné vektory a dodaný malvér

Kyberzločinci vytvorili legitímne vyzerajúcu webovú stránku ako návnadu na oklamanie používateľov, aby si stiahli malvér. Poškodená stránka údajne poskytuje používateľom aplikáciu na autorizáciu Wi-Fi. Návštevníci majú k dispozícii dve možnosti v závislosti od preferovanej platformy. Môžu kliknúť buď na tlačidlo „Stiahnuť pre Windows“ alebo „Stiahnuť pre Android“. V oboch prípadoch bude stiahnutá aplikácia niesť poškodený kód, ale nasadené hrozby sa líšia v závislosti od systému používateľa.

Ak návštevníci webovej stránky kliknú na tlačidlo 'Stiahnuť pre Windows', môžu mať svoje počítače napadnuté Erbium Stealer, Laplas Clipper alebo Aurora Info-stealer. Tieto časti malvéru sú sofistikované nástroje používané počítačovými zločincami na zhromažďovanie osobných údajov, ako sú heslá, čísla kreditných kariet a bankové údaje. Aktéri hrozieb používajúci tieto kmene si k nim zvyčajne kupujú prístup od pôvodných vývojárov za niekoľko stoviek amerických dolárov mesačne. Keď sa tieto hrozby dostanú do počítača, môžu spôsobiť značné škody.

Na druhej strane, tlačidlo 'Stiahnuť pre Android' vedie k vzorke Ermac Banking Trojan , klasifikovaný výskumníkmi infosec ako Ermac.C. Tento hrozivý variant má mnoho škodlivých funkcií, vrátane schopnosti prekryť aplikácie na krádež osobných údajov, keylogging, zhromažďovanie e-mailov z aplikácií Gmail, zachytávanie dvojfaktorových overovacích kódov a zhromažďovanie počiatočných fráz z niekoľkých kryptomenových peňaženiek.

Platforma Zombinder vyzbrojuje legitímne aplikácie

Pobočka hrozivej kampane pre Android využívala službu Dark Net s názvom „Zombinder“. Platforma je schopná pripojiť napadnuté súbory APK k inak legitímnym aplikáciám pre Android. Podľa odborníkov bol Zombinder prvýkrát uvedený na trh v marci 2022 a odvtedy sa začal presadzovať medzi kyberzločincami. Medzi aplikáciami distribuovanými v rámci prevádzky boli upravené verzie aplikácie na živé vysielanie futbalu, aplikácie Instagram atď.

Používanie Zombinderu umožňuje útočníkom zachovať pôvodnú funkčnosť zvolených aplikácií, vďaka čomu budú obete oveľa menej podozrivé. Zombinder dosahuje tento výsledok vstreknutím zmäteného zavádzača/kvapkadla škodlivého softvéru do aplikácií. Po inštalácii bude program fungovať podľa očakávania, kým sa nezobrazí výzva s výzvou na aktualizáciu aplikácie. Ak to používateľ prijme, inak legitímne vyzerajúca aplikácia načíta a stiahne hrozbu Ermac do zariadenia.

Trendy

Najviac videné

Načítava...