Zombinder is een nieuwe verduisteringsdienst en een crimineel platform waarmee kwaadwillenden malware kunnen binden aan legitieme Android-applicaties. De service is platformonafhankelijk en richt zich op zowel Windows- als Android-gebruikers.
Het platform werd ontdekt door onderzoekers van ThreatFabric tijdens het analyseren van de activiteit van de Ermac-trojan. De eerste Ermac-campagnes hoogstwaarschijnlijk eind augustus begonnen 2021. De aanvallen zijn nu uitgebreid, inclusief tal van apps zoals bankieren, mediaspelers, overheidsapps, antivirusoplossingen.
Dit is niet de enige trojan die in deze campagne is gebruikt. De dreigingsactoren gebruikten ook erbium, Aurora-dief, en Laplas clipper om slachtoffers te infecteren met desktop-malware, met duizenden slachtoffers tot gevolg. Erbium stealer alleen heeft met succes gegevens geëxfiltreerd van ten minste 1300 slachtoffers, aldus de onderzoekers.
Hoe werkt het Zombinder-platform?
Om potentiële slachtoffers voor de gek te houden, Zombinder imiteert applicaties voor Wi-Fi-autorisatie, verspreid via een valse website van één pagina met slechts twee knoppen.
De knop "Downloaden voor Android" leidt tot het downloaden van voorbeelden van Ermac, die de onderzoekers classificeerden als Ermac.C. De malware heeft de volgende mogelijkheden:
- Overlay-aanval om PII te stelen
- Keylogging
- Het stelen van e-mails van de Gmail-applicatie
- 2FA-codes stelen
- Zaadzinnen stelen uit verschillende cryptocurrency-portemonnees
De campagne wordt gestart met de genoemde Wi-Fi-autorisatie-app, wat in feite malware is.
Sommige van de gedownloade apps waren niet direct Ermac, maar een "legitieme" app die, tijdens zijn normale werking, installeerde Ermac als payload gericht op meerdere banktoepassingen, het verslag toegevoegd. Deze apps waren vermomd als aangepaste versies van Instagram, WiFi automatische authenticatie, Voetbal livestreaming.
Het is opmerkelijk dat de apps normaal werkten omdat hun oorspronkelijke functionaliteit niet werd verwijderd. De bedreigingsactoren hebben zojuist de malwarespecifieke malwarelader aan de code van de app toegevoegd. Om detectie te vermijden, de lader zelf heeft ook een vertroebeling ondergaan. Bij het starten van de app, de lader geeft een prompt weer aan het potentiële slachtoffer om een plug-in te installeren, die vervolgens de schadelijke payload installeert en op de achtergrond start.