Napadači pokreću zlonamjerne kampanje za distribuciju više porodica zlonamjernog softvera na Windows i Android platformama. Oni koriste darknet platformu nazvanu Zombinder kako bi povezali zlonamjerni sadržaj sa legitimnim Android aplikacijama.
ThreatFabric istraživači su otkrili da se Zombinder koristi kao usluga povezivanja i dropper u nedavnim kampanjama. U početku, Zombinder je lansiran kao paker malvera na APK fajlovima u martu.
Zombinder koristi modificirane verzije Instagrama, WiFi Auto Authenticator, Football Live Streaming, VidMate i popularne bankarske aplikacije i ugrađuje one sa zlonamjernim kodom.
Akteri prijetnji tvrde da se ovi paketi zlonamjernih aplikacija ne mogu otkriti u vremenu izvođenja.
Ove aplikacije navodno mogu zaobići Google Protect upozorenja ili antivirusna rješenja koja se pokreću na ciljnim uređajima.
Napadači koriste iste odredišne stranice za distribuciju širokog spektra Windows i Android malvera. To ukazuje da jedna treća strana služi višestrukim akterima prijetnji kao usluga distribucije zlonamjernog softvera.
Primijećeno je nekoliko zlonamjernih web lokacija koje imaju dva dugmeta – Preuzmi za Android ili Preuzmi za Windows. Nakon klika, ova dugmad preuzimaju modificiranu verziju legitimnog APK-a aplikacije sa zamagljenim kodom korisnog opterećenja.
Nakon instalacije, aplikacija funkcionira normalno i prikazuje poruku u kojoj se navodi da je potrebno ažurirati aplikaciju.
U ovom trenutku, ako žrtva prihvati, naizgled legitimna aplikacija će instalirati ažuriranje ili dodatak, koji je vrlo sposoban zlonamjerni softver.
Ako posjetitelj klikne na Preuzmi za Android, preuzimaju se zlonamjerni softveri za Android kao što su Sova trojan, Xenomorph trojan i Ermac (nova varijanta Ermac.C).
Kada kliknete na Preuzmi za Windows, preuzimaju se zlonamjerni softveri kao što su Erbium stealer, Laplas clipper i Aurora info-stealer.
Kampanja je rezultirala hiljadama žrtava, a kradljivac Erbijuma uspješno je eksfiltrirao podatke iz više od 1.300 žrtava
Zombinder postaje sve popularniji u zajednici cyber kriminala. Sa svojim pristupom ciljanja na više platformi bez izazivanja sumnje, akteri prijetnji će vjerovatno eksperimentirati s drugim vrstama zlonamjernog softvera i različitim platformama uz njegovu pomoć.
IZVOR: Cyware Alerts – Hacker News
