Zombinder è un nuovo servizio di offuscamento e piattaforma criminale che consente agli attori delle minacce di associare malware ad applicazioni Android legittime. Il servizio è multipiattaforma e si rivolge sia agli utenti Windows che Android.
La piattaforma è stata scoperta dai ricercatori di ThreatFabric durante l'analisi dell'attività del trojan Ermac. Il primo Campagne Ermac molto probabilmente sono stati avviati alla fine di agosto 2021. Gli attacchi ora si sono ampliati, comprese numerose app come banche, lettori multimediali, app governative, soluzioni antivirus.
Questo non è l'unico trojan utilizzato in questa campagna. Utilizzati anche gli attori delle minacce Erbio, Ladro di Aurora, e Laplas clipper per infettare le vittime con malware desktop, provocando migliaia di vittime. Il ladro di erbio da solo ha esfiltrato con successo i dati da almeno 1300 vittime, i ricercatori hanno detto.
Come funziona la piattaforma Zombinder?
Per ingannare potenziali vittime, Zombinder impersona le applicazioni per l'autorizzazione Wi-Fi, distribuito tramite un falso sito Web di una pagina contenente solo due pulsanti.
Il pulsante "Download per Android" porta al download di campioni di Ermac, che i ricercatori hanno classificato come Ermac.C. Il malware ha le seguenti funzionalità:
- Overlay attacco per rubare PII
- Keylogging
- Rubare e-mail dall'applicazione Gmail
- Rubare codici 2FA
- Rubare frasi seme da diversi portafogli di criptovaluta
La campagna viene avviata con la suddetta app di autorizzazione Wi-Fi che in realtà è un malware.
Alcune delle app scaricate non erano direttamente Ermac, ma un'app "legittima" che, durante il suo normale funzionamento, ha installato Ermac come carico utile destinato a più applicazioni bancarie, il rapporto aggiunto. Queste app erano mascherate da versioni modificate di Instagram, Autenticatore automatico Wi-Fi, Calcio in diretta streaming.
È interessante notare che le app hanno funzionato normalmente poiché la loro funzionalità originale non è stata rimossa. Gli attori delle minacce hanno appena aggiunto il caricatore di malware specifico del malware al codice dell'app. Per evitare il rilevamento, anche il caricatore stesso è stato offuscato. All'avvio dell'app, il caricatore visualizza una richiesta alla potenziale vittima di installare un plug-in, che quindi installa il payload dannoso e lo avvia in background.