Zombinder 恶意软件平台

心怀不轨的威胁行为者找到了一种传播恶意软件并感染毫无戒心的受害者的新方法 - 通过使用名为“Zombinder”的暗网平台。该平台允许威胁行为者将损坏的代码绑定到合法的 Android 应用程序，从而使它们能够以无法检测的方式进行分发。

这些攻击活动是由网络安全研究人员发现的。根据他们的调查结果，这一威胁性行动已成功影响了数千名受害者。事实上，仅作为攻击的一部分部署的Erbium Stealer威胁就成功感染了 1,300 台设备。

感染媒介和传播的恶意软件

网络罪犯创建了一个看似合法的网站作为诱饵，诱使用户下载恶意软件。据推测，损坏的网站会为用户提供 Wi-Fi 授权申请。访客有两种选择，这取决于他们喜欢的平台。他们可以单击“Windows 版下载”或“Android 版下载”按钮。在这两种情况下，下载的应用程序都将携带损坏的代码，但部署的威胁因用户的系统而异。

如果网站访问者单击“Windows 版下载”按钮，他们的计算机可能会被 Erbium Stealer、 Laplas Clipper或Aurora Info-stealer 感染。这些恶意软件是网络犯罪分子用来收集个人信息（如密码、信用卡号码和银行详细信息）的复杂工具。使用这些菌株的威胁行为者通常以每月几百美元的价格从原始开发人员那里购买对它们的访问权限。一旦进入计算机，这些威胁就会造成重大损害。

另一方面，“Android 版下载”按钮指向Ermac 银行木马样本，信息安全研究人员将其归类为 Ermac.C。这种具有威胁性的变体具有许多有害功能，包括覆盖应用程序以窃取个人信息、键盘记录、从 Gmail 应用程序收集电子邮件、拦截双因素身份验证代码以及从多个加密货币钱包收集种子短语的能力。

Zombinder 平台武器化合法应用程序

威胁活动的 Android 分支使用了名为“Zombinder”的暗网服务。该平台能够将受感染的 APK 附加到其他合法的 Android 应用程序中。据专家称，Zombinder 于 2022 年 3 月首次推出，此后开始受到网络犯罪分子的青睐。在作为行动一部分分发的应用程序中，有足球直播应用程序、Instagram 应用程序等的修改版本。

使用 Zombinder 可以让攻击者保留所选应用程序的原始功能，使它们对受害者来说看起来不那么可疑。 Zombinder 通过向应用程序中注入混淆的恶意软件加载程序/投放程序来实现此结果。安装后，程序将按预期运行，直到显示应用程序需要更新的提示。如果用户接受，看起来合法的应用程序将获取 Ermac 威胁并将其下载到设备。