Zombinder er en ny sløringstjeneste og kriminel platform, der gør det muligt for trusselsaktører at binde malware til legitime Android-applikationer. Tjenesten er på tværs af platforme og henvender sig til både Windows- og Android-brugere.
Platformen blev opdaget af ThreatFabric-forskere, mens de analyserede aktiviteten af Ermac-trojaneren. Den første Ermac kampagner blev højst sandsynligt påbegyndt i slutningen af august 2021. Angrebene er nu udvidet, herunder mange apps som f.eks. bank, medieafspillere, offentlige apps, antivirus løsninger.
Dette er ikke den eneste trojan, der blev brugt i denne kampagne. Truslen aktører også brugt Erbium, Aurora stjæler, og Laplas-klipper til at inficere ofre med desktop-malware, resulterer i tusindvis af ofre. Erbium stealer alene har med succes eksfiltreret data fra mindst 1300 ofre, forskerne sagde.
Hvordan virker Zombinder-platformen?
For at narre potentielle ofre, Zombinder efterligner applikationer om Wi-Fi-godkendelse, distribueres gennem en falsk én-sides hjemmeside, der kun indeholder to knapper.
Knappen "Download til Android" fører til download af eksempler på Ermac, som forskerne klassificerede som Ermac.C. Malwaren har følgende egenskaber:
- Overlejringsangreb for at stjæle PII
- Keylogging
- Stjæle e-mails fra Gmail-applikationen
- Stjæler 2FA-koder
- Stjæle frøsætninger fra flere cryptocurrency-punge
Kampagnen indledes med den nævnte Wi-Fi-godkendelsesapp, som faktisk er malware.
Nogle af de downloadede apps var ikke direkte Ermac, men en "legitim" app det, under normal drift, installeret Ermac som nyttelast målrettet mod flere bankapplikationer, rapporten tilføjet. Disse apps blev maskeret som modificerede versioner af Instagram, WiFi Auto Authenticator, Fodbold livestreaming.
Det er bemærkelsesværdigt, at apps fungerede normalt, da deres oprindelige funktionalitet ikke blev fjernet. Trusselsaktørerne har lige tilføjet den malware-specifikke malware-indlæser til appens kode. For at undgå at blive opdaget, selve læsseren har også gennemgået sløring. Ved lancering af appen, loaderen viser en prompt til det potentielle offer om at installere et plugin, som derefter installerer den ondsindede nyttelast og starter den i baggrunden.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: