Zombinder-Malware-Plattform

Böswillige Bedrohungsakteure haben einen neuen Weg gefunden, Malware zu verbreiten und ahnungslose Opfer zu infizieren – durch die Verwendung einer Dark-Net-Plattform namens „Zombinder“. Diese Plattform ermöglicht Angreifern, einen beschädigten Code an legitime Android-Anwendungen zu binden, sodass diese auf nicht erkennbare Weise verteilt werden können.

Die Angriffskampagnen wurden von Cybersicherheitsforschern entdeckt. Nach ihren Erkenntnissen hat die Drohoperation Tausende von Opfern getroffen. Tatsächlich hat es allein die im Rahmen des Angriffs eingesetzte Erbium Stealer- Bedrohung geschafft, 1.300 Geräte zu infizieren.

Infektionsvektoren und ausgelieferte Malware

Die Cyberkriminellen haben eine legitim aussehende Website als Köder erstellt, um Benutzer zum Herunterladen von Malware zu verleiten. Die beschädigte Seite bietet Benutzern angeblich eine Anwendung für die Wi-Fi-Autorisierung. Besucher haben je nach bevorzugter Plattform zwei Möglichkeiten. Sie können entweder auf die Schaltfläche „Download für Windows“ oder „Download für Android“ klicken. In beiden Fällen enthält die heruntergeladene Anwendung den beschädigten Code, aber die bereitgestellten Bedrohungen unterscheiden sich je nach System des Benutzers.

Wenn die Website-Besucher auf die Schaltfläche „Download für Windows“ klicken, können ihre Computer mit dem Erbium Stealer, dem Laplas Clipper oder dem Aurora Info-Stealer infiziert werden. Bei diesen Malware handelt es sich um ausgeklügelte Tools, die von Cyberkriminellen verwendet werden, um persönliche Informationen wie Passwörter, Kreditkartennummern und Bankdaten zu sammeln. Die Bedrohungsakteure, die diese Stämme verwenden, kaufen in der Regel den Zugang zu ihnen von den ursprünglichen Entwicklern für ein paar hundert US-Dollar pro Monat. Einmal in einen Computer eingedrungen, können diese Bedrohungen erheblichen Schaden anrichten.

Andererseits führt der „Download for Android“-Button zu einer Probe des Ermac-Banking-Trojaners , der von den Infosec-Forschern als Ermac.C klassifiziert wird. Diese bedrohliche Variante hat viele schädliche Funktionen, einschließlich der Fähigkeit, Anwendungen für den Diebstahl persönlicher Informationen, Keylogging, das Sammeln von E-Mails von Gmail-Anwendungen, das Abfangen von Zwei-Faktor-Authentifizierungscodes und das Sammeln von Seed-Phrasen aus mehreren Kryptowährungs-Wallets zu überlagern.

Die Zombinder-Plattform macht legitime Anwendungen zur Waffe

Der Android-Zweig der Drohkampagne nutzte einen Darknet-Dienst namens „Zombinder“. Die Plattform ist in der Lage, kompromittierte APKs an ansonsten legitime Android-Anwendungen anzuhängen. Laut Experten wurde Zombinder erstmals im März 2022 eingeführt und hat seitdem begonnen, bei Cyberkriminellen an Bedeutung zu gewinnen. Unter den Anwendungen, die im Rahmen der Operation verteilt wurden, befanden sich modifizierte Versionen einer Fußball-Live-Streaming-Anwendung, der Instagram-Anwendung usw.

Die Verwendung von Zombinder ermöglicht es Angreifern, die ursprüngliche Funktionalität der ausgewählten Anwendungen beizubehalten, wodurch sie für die Opfer weitaus weniger verdächtig erscheinen. Zombinder erreicht dieses Ergebnis, indem es einen verschleierten Malware-Loader/Dropper in die Anwendungen einfügt. Nach der Installation funktioniert das Programm wie erwartet, bis eine Aufforderung angezeigt wird, dass die Anwendung aktualisiert werden muss. Wenn der Benutzer zustimmt, ruft die ansonsten legitim aussehende Anwendung die Ermac-Bedrohung ab und lädt sie auf das Gerät herunter.