Accueil > Nouvelles Cyber > La plate-forme Zombinder lie les logiciels malveillants aux applications Android légitimes
CYBER NOUVELLES

La plate-forme Zombinder lie les logiciels malveillants aux applications Android légitimes

Zombinder est un nouveau service d'obscurcissement et une plate-forme criminelle qui permet aux pirates de lier des logiciels malveillants à des applications Android légitimes. Le service est multiplateforme et cible à la fois les utilisateurs Windows et Android.

La plate-forme a été découverte par les chercheurs de ThreatFabric lors de l'analyse de l'activité du cheval de Troie Ermac. La première Campagnes Ermac ont probablement été lancés fin août 2021. Les attaques se sont maintenant étendues, y compris de nombreuses applications telles que la banque, lecteurs multimédia, applications gouvernementales, solutions antivirus.

Ce n'est pas le seul cheval de Troie utilisé dans cette campagne. Les acteurs de la menace ont également utilisé Erbium, Voleur d'aurore, et clipper Laplas pour infecter les victimes avec des logiciels malveillants de bureau, fait des milliers de victimes. Seul le voleur d'erbium a exfiltré avec succès des données d'au moins 1300 victimes, les chercheurs.

ermac-android-trojan-header-sensorstechforum

Comment fonctionne la plateforme Zombinder?

Afin de tromper les victimes potentielles, Zombinder se fait passer pour des applications d'autorisation Wi-Fi, distribué via un faux site Web d'une page contenant seulement deux boutons.

Le bouton "Télécharger pour Android" permet de télécharger des échantillons d'Ermac, que les chercheurs ont classé comme Ermac.C. Le logiciel malveillant a les capacités suivantes:

  • Attaque superposée pour voler des PII
  • Keylogging
  • Voler des e-mails de l'application Gmail
  • Voler des codes 2FA
  • Voler des phrases de départ de plusieurs portefeuilles de crypto-monnaie

La campagne est lancée avec ladite application d'autorisation Wi-Fi qui est en fait un malware.




Certaines des applications téléchargées n'étaient pas directement Ermac, mais une application "légitime" qui, pendant son fonctionnement normal, installé Ermac comme charge utile ciblant plusieurs applications bancaires, le rapport ajoutée. Ces applications ont été déguisées en versions modifiées d'Instagram, Authentificateur automatique Wi-Fi, Football en direct.

Il est à noter que les applications ont fonctionné normalement car leur fonctionnalité d'origine n'a pas été supprimée. Les acteurs de la menace viennent d'ajouter le chargeur de logiciels malveillants spécifique au code de l'application. Pour éviter la détection, le chargeur lui-même a également subi une obfuscation. Au lancement de l'application, le chargeur affiche une invite à la victime potentielle pour installer un plugin, qui installe ensuite la charge utile malveillante et la lance en arrière-plan.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord