Эксперты ThreatFabric рассказали о платформе Zombinder, которая набирает популярность в даркнете. Zombinder помогает осуществить привязку малвари к легитимным приложениям для Android, а создатели сервиса утверждают, что полученные вредоносные приложения невозможно обнаружить.
Все началось с того, что специалисты заметили новую вредоносную кампанию, направленную на пользователей Windows и Android, и распространяющую сразу несколько семейств малвари, включая стилеры Erbium и Aurora, клипер Laplas и банкер Ermac.
Заражения осуществляются через сайты, замаскированные под порталы авторизации Wi-Fi, которые якобы помогают пользователям подключиться к точкам доступа.
Такие сайты предлагают жертвам загрузить приложение для Windows или Android, якобы необходимое для продолжения работы, а на самом деле распространяют разную малварь. По данным исследователей, от этой кампании уже пострадали тысячи пользователей, и только стилер Erbium сумел похитить данные с 1300 отдельных машин.
Изучая эту кампанию, эксперты обнаружили интересный аспект: Android-приложения злоумышленников были созданы с помощью платформы Zombinder, которая предлагает привязку вредоносного дроппера к легитимным приложениям для Android. По данным исследователей, Zombinder был запущен в марте 2022 года и в настоящее время становится все более популярным среди хакеров.
APK-файлы, используемые в этой кампании, были разными. Так, аналитики наблюдали фейковое приложение для прямых футбольных трансляций и модифицированные версии приложений социальных сетей. Подчеркивается, что все они работают должным образом, потому как функциональность оригинального приложения не удаляется и не страдает, просто Zombinder добавляет к исходному коду загрузчик малвари.
Загрузчик обфусцирован, чтобы избежать обнаружения, поэтому, когда пользователь запускает приложение, загрузчик отображает запрос якобы на установку плагина. Таким способом он установит на устройство жертвы вредоносный пейлоад, а после запустит его в фоновом режиме.
При этом авторы Zombinder утверждают, что такие вредоносные приложения невозможно обнаружить во время выполнения, они могут обходить защиту Google Protect и антивирусы, работающие на устройствах жертв.
Как уже было сказано выше, таким способом среди пользователей Android распространяется банкер Ermac, способный осуществлять кейлоггинг, оверлейные атаки, кражу писем из Gmail, перехват кодов 2ФА, а также воровать seed-фразы криптокошельков. Аналогичным образом Zombinder помогает распространению банковского трояна Xenomorph и малвари Sova.
Нужно сказать, что если на сайте злоумышленников жертва выберет загрузку софта для Windows, то на ее машину попросту загрузится вышеперечисленная десктопная малварь (Erbium, Aurora и Laplas). То есть к этой части кампании Zombinder отношения не имеет.
«Такое разнообразие троянов может свидетельствовать о том, что вредоносная целевая страница используется несколькими киберпреступниками и предоставляется им в рамках некой сторонней службы по распространению [малвари]», — предполагают исследователи.