Zombinder é um novo serviço de ofuscação e plataforma criminosa que permite que agentes de ameaças liguem malware a aplicativos Android legítimos. O serviço é multiplataforma e tem como alvo usuários de Windows e Android.
A plataforma foi descoberta por pesquisadores do ThreatFabric ao analisar a atividade do trojan Ermac. O primeiro campanhas Ermac foram provavelmente iniciados no final de agosto 2021. Os ataques agora se expandiram, incluindo vários aplicativos, como serviços bancários, players de mídia, aplicativos governamentais, soluções antivírus.
Este não é o único trojan que foi usado nesta campanha. Os agentes de ameaças também usaram érbio, ladrão de auroras, e Laplas clipper para infectar vítimas com malware de desktop, resultando em milhares de vítimas. O ladrão de érbio sozinho exfiltrou com sucesso dados de pelo menos 1300 vítimas, os pesquisadores disseram.
Como funciona a plataforma Zombinder?
Para enganar potenciais vítimas, Zombinder personifica aplicativos para autorização de Wi-Fi, distribuído por meio de um site falso de uma página contendo apenas dois botões.
O botão “Download for Android” leva ao download de amostras do Ermac, que os pesquisadores classificaram como Ermac.C. O malware tem os seguintes recursos:
- Ataque de sobreposição para roubar PII
- keylogging
- Roubar e-mails do aplicativo Gmail
- Roubando códigos 2FA
- Roubando frases-semente de várias carteiras de criptomoedas
A campanha é iniciada com o referido aplicativo de autorização de Wi-Fi, que na verdade é um malware.
Alguns dos aplicativos baixados não eram diretamente Ermac, mas um app “legítimo” que, durante sua operação normal, instalou o Ermac como carga útil visando vários aplicativos bancários, o relatório adicionado. Esses aplicativos foram mascarados como versões modificadas do Instagram, Autenticador Automático WiFi, Transmissão ao vivo de futebol.
Vale ressaltar que os aplicativos funcionaram normalmente, pois sua funcionalidade original não foi removida. Os agentes de ameaças acabaram de adicionar o carregador de malware específico ao código do aplicativo. Para evitar a detecção, o carregador em si também sofreu ofuscação. Ao iniciar o aplicativo, o carregador exibe um prompt para a vítima em potencial instalar um plug-in, que então instala a carga maliciosa e a inicia em segundo plano.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: