Zombinder は、攻撃者が正規の Android アプリケーションにマルウェアをバインドできるようにする新しい難読化サービスおよび犯罪プラットフォームです。. このサービスはクロスプラットフォームであり、Windows と Android の両方のユーザーを対象としています.
このプラットフォームは、Ermac トロイの木馬の活動を分析しているときに、ThreatFabric の研究者によって発見されました。. 最初 エルマックのキャンペーン 8月下旬に開始された可能性が最も高い 2021. 攻撃が拡大しました, 銀行などの多数のアプリを含む, メディアプレーヤー, 政府のアプリ, ウイルス対策ソリューション.
このキャンペーンで使用されたトロイの木馬はこれだけではありません. 攻撃者も使用 エルビウム, オーロラ スティーラー, デスクトップ マルウェアで被害者を感染させるラプラス クリッパー, 何千人もの犠牲者を出す. エルビウム スティーラーだけでも、少なくとも 1300 犠牲者, 研究者は言った.
Zombinder プラットフォームの仕組み?
潜在的な被害者をだますために, Zombinder は、Wi-Fi 認証のためにアプリケーションを偽装します, ボタンが 2 つしかない偽の 1 ページの Web サイトを通じて配布された.
「Android 用ダウンロード」ボタンは、Ermac のサンプルのダウンロードにつながります, 研究者が Ermac.C として分類したもの. マルウェアには次の機能があります:
- PII を盗むためのオーバーレイ攻撃
- キーロガー
- Gmail アプリケーションから電子メールを盗む
- 2FA コードを盗む
- 複数の暗号通貨ウォレットからシードフレーズを盗む
キャンペーンは、実際にはマルウェアである前述の Wi-Fi 認証アプリで開始されます.
ダウンロードしたアプリの一部は直接 Ermac ではありませんでした, しかし、「合法的な」アプリは, 通常の動作中, 複数のバンキング アプリケーションを対象とするペイロードとして Ermac をインストール, レポート 追加した. これらのアプリは、Instagram の修正版になりすました, WiFi 自動認証システム, サッカーライブストリーミング.
元の機能が削除されていないため、アプリが正常に機能したことは注目に値します. 攻撃者は、マルウェア固有のマルウェア ローダーをアプリのコードに追加しただけです。. 検出を回避するには, ローダー自体も難読化されています. アプリを起動すると, ローダーは、潜在的な被害者にプラグインをインストールするように求めるプロンプトを表示します, その後、悪意のあるペイロードをインストールし、バックグラウンドで起動します.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: