Платформа шкідливих програм Zombinder

Зловмисники знайшли новий спосіб розповсюджувати зловмисне програмне забезпечення та заражати нічого не підозрюючих жертв – за допомогою платформи Dark Net під назвою Zombinder. Ця платформа дозволяє зловмисникам прив’язувати пошкоджений код до законних додатків Android, дозволяючи розповсюджувати їх у невиявлений спосіб.

Кампанії атак виявили дослідники кібербезпеки. За їхніми висновками, загрозлива операція вплинула на тисячі жертв. Насправді лише загроза Erbium Stealer , застосована в рамках атаки, змогла заразити 1300 пристроїв.

Інфекційні вектори та доставлене шкідливе програмне забезпечення

Кіберзлочинці створили веб-сайт із законним виглядом, щоб обманом змусити користувачів завантажити шкідливе програмне забезпечення. Пошкоджений сайт нібито надає користувачам додаток для авторизації Wi-Fi. Відвідувачам надається два варіанти, залежно від платформи, яку вони віддають перевагу. Вони можуть натиснути кнопку «Завантажити для Windows» або «Завантажити для Android». В обох випадках завантажена програма міститиме пошкоджений код, але розгорнуті загрози відрізняються залежно від системи користувача.

Якщо відвідувачі веб-сайту натискають кнопку «Завантажити для Windows», їхні комп’ютери можуть бути заражені Erbium Stealer, Laplas Clipper або Aurora Info-stealer. Ці шкідливі програми є складними інструментами, які використовують кіберзлочинці для збору особистої інформації, як-от паролі, номери кредитних карток і банківські реквізити. Зловмисники, які використовують ці штами, зазвичай купують доступ до них у оригінальних розробників за кілька сотень доларів США на місяць. Потрапивши в комп’ютер, ці загрози можуть завдати значної шкоди.

З іншого боку, кнопка «Завантажити для Android» веде до зразка банківського трояна Ermac, класифікованого дослідниками Infosec як Ermac.C. Цей загрозливий варіант має багато шкідливих функцій, зокрема здатність накладати програми на крадіжку особистої інформації, клавіатурні журнали, збір електронних листів із програм Gmail, перехоплення кодів двофакторної автентифікації та збір початкових фраз із кількох гаманців криптовалюти.

Платформа Zombinder використовує законні додатки як зброю

Android-гілка загрозливої кампанії використовувала службу Dark Net під назвою Zombinder. Платформа здатна приєднувати скомпрометовані файли APK до законних програм Android. За словами експертів, Zombinder вперше був запущений ще в березні 2022 року і з тих пір почав набирати популярність серед кіберзлочинців. Серед додатків, розповсюджених у рамках операції, були модифіковані версії додатку для прямої трансляції футболу, додатка Instagram тощо.

Використання Zombinder дозволяє зловмисникам зберегти початкову функціональність вибраних програм, завдяки чому вони виглядають набагато менш підозрілими для жертв. Zombinder досягає цього результату, впроваджуючи в програми обфускований завантажувач/дроппер шкідливого програмного забезпечення. Після інсталяції програма працюватиме належним чином, доки не з’явиться підказка про необхідність оновлення програми. Якщо користувач погоджується, легітимна програма отримає та завантажить на пристрій загрозу Ermac.