Zombinder es un nuevo servicio de ofuscación y plataforma criminal que permite a los actores de amenazas vincular malware a aplicaciones Android legítimas.. El servicio es multiplataforma y está dirigido a usuarios de Windows y Android..
La plataforma fue descubierta por investigadores de ThreatFabric mientras analizaban la actividad del troyano Ermac. El primero Campañas de Ermac probablemente se iniciaron a fines de agosto 2021. Los ataques ahora se han expandido, incluyendo numerosas aplicaciones como banca, reproductores de medios, aplicaciones gubernamentales, soluciones antivirus.
Este no es el único troyano que se utilizó en esta campaña.. Los actores de la amenaza también utilizaron erbio, ladrón de auroras, y Laplas clipper para infectar a las víctimas con malware de escritorio, resultando en miles de víctimas. Solo el ladrón de erbio extrajo con éxito datos de al menos 1300 víctimas, los investigadores dijeron.
Cómo funciona la plataforma Zombinder?
Para engañar a las posibles víctimas., Zombinder se hace pasar por aplicaciones para autorización Wi-Fi, distribuido a través de un sitio web falso de una página que contiene solo dos botones.
El botón "Descargar para Android" conduce a la descarga de muestras de Ermac, que los investigadores clasificaron como Ermac.C. El malware tiene las siguientes capacidades:
- Ataque de superposición para robar PII
- Keylogging
- Robo de correos electrónicos de la aplicación Gmail
- Robo de códigos 2FA
- Robo de frases semilla de varios monederos de criptomonedas
La campaña se inicia con dicha aplicación de autorización Wi-Fi que, de hecho, es un malware..
Algunas de las aplicaciones descargadas no eran directamente Ermac, sino una aplicación "legítima" que, durante su funcionamiento normal, instaló Ermac como carga útil dirigida a múltiples aplicaciones bancarias, el informe adicional. Estas aplicaciones se hicieron pasar por versiones modificadas de Instagram, Autenticador automático WiFi, Transmisión en vivo de fútbol.
Es de destacar que las aplicaciones funcionaron normalmente ya que no se eliminó su funcionalidad original.. Los actores de amenazas acaban de agregar el cargador de malware específico de malware al código de la aplicación.. Para evitar la detección, el propio cargador también ha sufrido ofuscación. Al iniciar la aplicación, el cargador muestra un mensaje a la víctima potencial para que instale un complemento, que luego instala la carga útil maliciosa y la inicia en segundo plano.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: