Huis > Cyber ​​Nieuws > Zombinder-platform bindt malware aan legitieme Android-apps
CYBER NEWS

Zombinder-platform bindt malware aan legitieme Android-apps

Zombinder is een nieuwe verduisteringsdienst en een crimineel platform waarmee kwaadwillenden malware kunnen binden aan legitieme Android-applicaties. De service is platformonafhankelijk en richt zich op zowel Windows- als Android-gebruikers.

Het platform werd ontdekt door onderzoekers van ThreatFabric tijdens het analyseren van de activiteit van de Ermac-trojan. De eerste Ermac-campagnes hoogstwaarschijnlijk eind augustus begonnen 2021. De aanvallen zijn nu uitgebreid, inclusief tal van apps zoals bankieren, mediaspelers, overheidsapps, antivirusoplossingen.

Dit is niet de enige trojan die in deze campagne is gebruikt. De dreigingsactoren gebruikten ook erbium, Aurora-dief, en Laplas clipper om slachtoffers te infecteren met desktop-malware, met duizenden slachtoffers tot gevolg. Erbium stealer alleen heeft met succes gegevens geëxfiltreerd van ten minste 1300 slachtoffers, aldus de onderzoekers.

ermac-android-trojan-header-sensorstechforum

Hoe werkt het Zombinder-platform?

Om potentiële slachtoffers voor de gek te houden, Zombinder imiteert applicaties voor Wi-Fi-autorisatie, verspreid via een valse website van één pagina met slechts twee knoppen.

De knop "Downloaden voor Android" leidt tot het downloaden van voorbeelden van Ermac, die de onderzoekers classificeerden als Ermac.C. De malware heeft de volgende mogelijkheden:

  • Overlay-aanval om PII te stelen
  • Keylogging
  • Het stelen van e-mails van de Gmail-applicatie
  • 2FA-codes stelen
  • Zaadzinnen stelen uit verschillende cryptocurrency-portemonnees

De campagne wordt gestart met de genoemde Wi-Fi-autorisatie-app, wat in feite malware is.




Sommige van de gedownloade apps waren niet direct Ermac, maar een "legitieme" app die, tijdens zijn normale werking, installeerde Ermac als payload gericht op meerdere banktoepassingen, het verslag toegevoegd. Deze apps waren vermomd als aangepaste versies van Instagram, WiFi automatische authenticatie, Voetbal livestreaming.

Het is opmerkelijk dat de apps normaal werkten omdat hun oorspronkelijke functionaliteit niet werd verwijderd. De bedreigingsactoren hebben zojuist de malwarespecifieke malwarelader aan de code van de app toegevoegd. Om detectie te vermijden, de lader zelf heeft ook een vertroebeling ondergaan. Bij het starten van de app, de lader geeft een prompt weer aan het potentiële slachtoffer om een plug-in te installeren, die vervolgens de schadelijke payload installeert en op de achtergrond start.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens