Platform ng Zombinder Malware

Nakahanap ang mga aktor ng banta na masama ang loob ng isang bagong paraan upang maikalat ang malware at mahawahan ang mga hindi pinaghihinalaang biktima - sa pamamagitan ng paggamit ng isang Dark Net platform na pinangalanang 'Zombinder.' Ang platform na ito ay nagbibigay-daan sa mga aktor ng pagbabanta na magbigkis ng isang sirang code sa mga lehitimong Android application, na nagbibigay-daan sa kanila na maipamahagi sa isang hindi matukoy na paraan.

Ang mga kampanya sa pag-atake ay natuklasan ng mga mananaliksik ng cybersecurity. Ayon sa kanilang mga natuklasan, ang nagbabantang operasyon ay nagawang makaapekto sa libu-libong biktima. Sa katunayan, ang banta lamang ng Erbium Stealer na na-deploy bilang bahagi ng pag-atake ay nagawang makahawa sa 1,300 device.

Mga Infection Vector at Naghatid ng Malware

Ang mga cybercriminal ay lumikha ng isang website na mukhang lehitimo bilang pang-akit upang linlangin ang mga user na mag-download ng malware. Ang sirang site ay diumano'y nagbibigay sa mga user ng isang application para sa pahintulot ng Wi-Fi. Ang mga bisita ay binibigyan ng dalawang pagpipilian, depende sa kanilang gustong platform. Maaari silang mag-click sa alinman sa 'I-download para sa Windows' o ang 'I-download para sa Android' na mga pindutan. Sa parehong mga kaso, dadalhin ng na-download na application ang sirang code, ngunit ang mga na-deploy na banta ay naiiba batay sa system ng user.

Kung mag-click ang mga bisita sa website sa pindutang 'I-download para sa Windows', maaaring nahawahan sila ng Erbium Stealer, Laplas Clipper , o Aurora Info-stealer. Ang mga piraso ng malware na ito ay mga sopistikadong tool na ginagamit ng mga cybercriminal upang mangolekta ng personal na impormasyon, tulad ng mga password, numero ng credit card at mga detalye ng bangko. Ang mga banta ng aktor na gumagamit ng mga strain na ito ay karaniwang bumibili ng access sa kanila mula sa orihinal na mga developer para sa ilang daang US dollars bawat buwan. Kapag nasa loob na ng computer, ang mga banta na ito ay maaaring magdulot ng malaking pinsala.

Sa kabilang banda, ang button na 'I-download para sa Android' ay humahantong sa isang sample ng Ermac Banking Trojan , na inuri ng mga mananaliksik ng infosec bilang Ermac.C. Ang nagbabantang variant na ito ay may maraming mapaminsalang function, kabilang ang kakayahang mag-overlay ng mga application para sa pagnanakaw ng personal na impormasyon, keylogging, pagkolekta ng mga email mula sa mga Gmail application, pag-intercept ng dalawang-factor na authentication code, at pangangalap ng mga seed phrase mula sa ilang cryptocurrency wallet.

Ang Zombinder Platform ay Gumagamit ng Mga Lehitimong Aplikasyon

Ang sangay ng Android ng nagbabantang kampanya ay gumamit ng serbisyo ng Dark Net na pinangalanang 'Zombinder.' Ang platform ay may kakayahang mag-attach ng mga nakompromisong APK sa mga lehitimong Android application. Ayon sa mga eksperto, ang Zombinder ay unang inilunsad noong Marso 2022 at, mula noon, nagsimulang makakuha ng traksyon sa mga cybercriminal. Kabilang sa mga application na ipinamahagi bilang bahagi ng operasyon, ay ang mga binagong bersyon ng isang football live-streaming application, ang Instagram application, atbp.

Ang paggamit ng Zombinder ay nagbibigay-daan sa mga umaatake na mapanatili ang orihinal na functionality ng mga napiling application, na ginagawang hindi gaanong kahina-hinala ang mga ito sa mga biktima. Nakakamit ng Zombinder ang resultang ito sa pamamagitan ng pag-iniksyon ng na-obfuscated na malware loader/dropper sa mga application. Pagkatapos ng pag-install, gagana ang program gaya ng inaasahan, hanggang sa magpakita ang isang prompt na nagsasabing kailangang i-update ang application. Kung tatanggapin ng user, kukunin at ida-download ng user na mukhang lehitimong application ang banta ng Ermac sa device.