Zombinder 惡意軟件平台

心懷不軌的威脅行為者找到了一種傳播惡意軟件並感染毫無戒心的受害者的新方法 - 通過使用名為“Zombinder”的暗網平台。該平台允許威脅行為者將損壞的代碼綁定到合法的 Android 應用程序，從而使它們能夠以無法檢測的方式進行分發。

這些攻擊活動是由網絡安全研究人員發現的。根據他們的調查結果，這一威脅性行動已成功影響了數千名受害者。事實上，僅作為攻擊的一部分部署的Erbium Stealer威脅就成功感染了 1,300 台設備。

感染媒介和傳播的惡意軟件

網絡罪犯創建了一個看似合法的網站作為誘餌，誘使用戶下載惡意軟件。據推測，損壞的網站會為用戶提供 Wi-Fi 授權申請。訪客有兩種選擇，這取決於他們喜歡的平台。他們可以單擊“Windows 版下載”或“Android 版下載”按鈕。在這兩種情況下，下載的應用程序都將攜帶損壞的代碼，但部署的威脅因用戶的系統而異。

如果網站訪問者單擊“Windows 版下載”按鈕，他們的計算機可能會被 Erbium Stealer、 Laplas Clipper或Aurora Info-stealer 感染。這些惡意軟件是網絡犯罪分子用來收集個人信息（如密碼、信用卡號碼和銀行詳細信息）的複雜工具。使用這些菌株的威脅行為者通常以每月幾百美元的價格從原始開發人員那裡購買對它們的訪問權限。一旦進入計算機，這些威脅就會造成重大損害。

另一方面，“Android 版下載”按鈕指向Ermac 銀行木馬樣本，信息安全研究人員將其歸類為 Ermac.C。這種具有威脅性的變體具有許多有害功能，包括覆蓋應用程序以竊取個人信息、鍵盤記錄、從 Gmail 應用程序收集電子郵件、攔截雙因素身份驗證代碼以及從多個加密貨幣錢包收集種子短語的能力。

Zombinder 平台武器化合法應用程序

威脅活動的 Android 分支使用了名為“Zombinder”的暗網服務。該平台能夠將受感染的 APK 附加到其他合法的 Android 應用程序中。據專家稱，Zombinder 於 2022 年 3 月首次推出，此後開始受到網絡犯罪分子的青睞。在作為行動一部分分發的應用程序中，有足球直播應用程序、Instagram 應用程序等的修改版本。

使用 Zombinder 可以讓攻擊者保留所選應用程序的原始功能，使它們對受害者來說看起來不那麼可疑。 Zombinder 通過向應用程序中註入混淆的惡意軟件加載程序/投放程序來實現此結果。安裝後，程序將按預期運行，直到顯示應用程序需要更新的提示。如果用戶接受，看起來合法的應用程序將獲取 Ermac 威脅並將其下載到設備。