Zombinder ist ein neuer Verschleierungsdienst und eine kriminelle Plattform, die es Angreifern ermöglicht, Malware an legitime Android-Anwendungen zu binden. Der Dienst ist plattformübergreifend und richtet sich sowohl an Windows- als auch an Android-Benutzer.
Die Plattform wurde von ThreatFabric-Forschern entdeckt, als sie die Aktivität des Ermac-Trojaners analysierten. Der Erste Ermac-Kampagnen wurden höchstwahrscheinlich Ende August eingeleitet 2021. Die Angriffe haben sich mittlerweile ausgeweitet, darunter zahlreiche Apps wie Banking, Media-Playern, Regierungs-Apps, Antivirus-Lösungen.
Dies ist nicht der einzige Trojaner, der in dieser Kampagne verwendet wurde. Auch die Bedrohungsakteure kamen zum Einsatz Erbium, Aurora-Dieb, und Laplas Clipper, um Opfer mit Desktop-Malware zu infizieren, was zu Tausenden von Opfern führt. Erbium Stealer allein hat zumindest erfolgreich Daten exfiltriert 1300 Opfer, sagten die Forscher.
Wie funktioniert die Zombinder-Plattform??
Um potenzielle Opfer zu täuschen, Zombinder gibt sich als Antrag auf Wi-Fi-Autorisierung aus, über eine gefälschte einseitige Website verbreitet, die nur zwei Schaltflächen enthält.
Die Schaltfläche „Download für Android“ führt zum Herunterladen von Beispielen von Ermac, die die Forscher als Ermac.C klassifizierten. Die Malware hat die folgenden Fähigkeiten:
- Overlay-Angriff, um PII zu stehlen
- Keylogger
- Stehlen von E-Mails aus der Google Mail-Anwendung
- 2FA-Codes stehlen
- Das Stehlen von Seed-Phrasen aus mehreren Kryptowährungs-Wallets
Die Kampagne wird mit der besagten Wi-Fi-Autorisierungs-App gestartet, die tatsächlich Malware ist.
Einige der heruntergeladenen Apps waren nicht direkt Ermac, aber eine "legitime" App, die, während seines normalen Betriebs, installierte Ermac als Payload für mehrere Banking-Anwendungen, der Bericht hinzugefügt. Diese Apps wurden als modifizierte Versionen von Instagram getarnt, Automatischer WLAN-Authentifikator, Fußball Live-Streaming.
Es ist bemerkenswert, dass die Apps normal funktionierten, da ihre ursprüngliche Funktionalität nicht entfernt wurde. Die Bedrohungsakteure haben einfach den Malware-spezifischen Malware-Loader zum Code der App hinzugefügt. Um nicht entdeckt zu werden, Der Lader selbst wurde ebenfalls verschleiert. Beim Starten der App, Der Loader zeigt dem potenziellen Opfer eine Aufforderung an, ein Plugin zu installieren, der dann die bösartige Payload installiert und im Hintergrund startet.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: