Зомбиндер малвер платформа

Лоше настројени актери претњи пронашли су нови начин да шире злонамерни софтвер и заразе несуђене жртве – коришћењем платформе Дарк Нет под називом „Зомбиндер“. Ова платформа омогућава актерима претњи да повежу оштећени код са легитимним Андроид апликацијама, омогућавајући им да се дистрибуирају на неприметан начин.

Кампање напада открили су истраживачи сајбер безбедности. Према њиховим налазима, претња операција је успела да утиче на хиљаде жртава. У ствари, само претња Ербиум Стеалер која је распоређена као део напада успела је да зарази 1.300 уређаја.

Вектори инфекције и испоручени малвер

Сајбер криминалци су направили веб локацију која изгледа легитимно као мамац да преваре кориснике да преузму малвер. Оштећена страница наводно корисницима пружа апликацију за Ви-Фи ауторизацију. Посетиоцима су на располагању два избора, у зависности од платформе коју желе. Они могу да кликну на дугме 'Преузми за Виндовс' или 'Преузми за Андроид'. У оба случаја, преузета апликација ће носити оштећени код, али примењене претње се разликују у зависности од система корисника.

Ако посетиоци веб локације кликну на дугме 'Преузми за Виндовс', њихови рачунари су можда заражени Ербиум Стеалер-ом, Лаплас Цлиппер -ом или Аурора Инфо-стеалер-ом. Ови делови малвера су софистицирани алати које користе сајбер криминалци за прикупљање личних података, као што су лозинке, бројеви кредитних картица и банковни подаци. Актери претњи који користе ове врсте обично купују приступ њима од оригиналних програмера за неколико стотина америчких долара месечно. Једном у рачунару, ове претње могу проузроковати значајну штету.

С друге стране, дугме 'Преузми за Андроид' води до узорка Ермац банкарског тројанца , који су истраживачи инфосец-а класификовали као Ермац.Ц. Ова претећа варијанта има многе штетне функције, укључујући могућност преклапања апликација за крађу личних података, вођење лозинке, прикупљање е-поште из Гмаил апликација, пресретање двофакторних кодова за аутентификацију и прикупљање почетних фраза из неколико новчаника криптовалута.

Зомбиндер платформа наоружава легитимне апликације

Андроид огранак претеће кампање користио је услугу Дарк Нет под називом „Зомбиндер“. Платформа је способна да прикачи компромитоване АПК-ове на иначе легитимне Андроид апликације. Према речима стручњака, Зомбиндер је први пут лансиран још у марту 2022. године и од тада је почео да добија на популарности међу сајбер криминалцима. Међу апликацијама које су дистрибуиране у оквиру операције биле су модификоване верзије апликације за пренос фудбала уживо, Инстаграм апликације итд.

Коришћење Зомбиндер-а омогућава нападачима да сачувају оригиналну функционалност одабраних апликација, чинећи да жртвама изгледају далеко мање сумњиве. Зомбиндер постиже овај резултат убризгавањем прикривеног учитавача/дроппера малвера у апликације. Након инсталације, програм ће функционисати како се очекује, све док се не прикаже промпт који тврди да апликацију треба ажурирати. Ако корисник прихвати, апликација која иначе изгледа легитимно ће преузети и преузети Ермац претњу на уређај.