Zombinder est un nouveau service d'obscurcissement et une plate-forme criminelle qui permet aux pirates de lier des logiciels malveillants à des applications Android légitimes. Le service est multiplateforme et cible à la fois les utilisateurs Windows et Android.
La plate-forme a été découverte par les chercheurs de ThreatFabric lors de l'analyse de l'activité du cheval de Troie Ermac. La première Campagnes Ermac ont probablement été lancés fin août 2021. Les attaques se sont maintenant étendues, y compris de nombreuses applications telles que la banque, lecteurs multimédia, applications gouvernementales, solutions antivirus.
Ce n'est pas le seul cheval de Troie utilisé dans cette campagne. Les acteurs de la menace ont également utilisé Erbium, Voleur d'aurore, et clipper Laplas pour infecter les victimes avec des logiciels malveillants de bureau, fait des milliers de victimes. Seul le voleur d'erbium a exfiltré avec succès des données d'au moins 1300 victimes, les chercheurs.
Comment fonctionne la plateforme Zombinder?
Afin de tromper les victimes potentielles, Zombinder se fait passer pour des applications d'autorisation Wi-Fi, distribué via un faux site Web d'une page contenant seulement deux boutons.
Le bouton "Télécharger pour Android" permet de télécharger des échantillons d'Ermac, que les chercheurs ont classé comme Ermac.C. Le logiciel malveillant a les capacités suivantes:
- Attaque superposée pour voler des PII
- Keylogging
- Voler des e-mails de l'application Gmail
- Voler des codes 2FA
- Voler des phrases de départ de plusieurs portefeuilles de crypto-monnaie
La campagne est lancée avec ladite application d'autorisation Wi-Fi qui est en fait un malware.
Certaines des applications téléchargées n'étaient pas directement Ermac, mais une application "légitime" qui, pendant son fonctionnement normal, installé Ermac comme charge utile ciblant plusieurs applications bancaires, le rapport ajoutée. Ces applications ont été déguisées en versions modifiées d'Instagram, Authentificateur automatique Wi-Fi, Football en direct.
Il est à noter que les applications ont fonctionné normalement car leur fonctionnalité d'origine n'a pas été supprimée. Les acteurs de la menace viennent d'ajouter le chargeur de logiciels malveillants spécifique au code de l'application. Pour éviter la détection, le chargeur lui-même a également subi une obfuscation. Au lancement de l'application, le chargeur affiche une invite à la victime potentielle pour installer un plugin, qui installe ensuite la charge utile malveillante et la lance en arrière-plan.