Zombinder ukryje malware w legalnych aplikacjach na Androida
W darknecie pojawiła się nowa platforma Zombinder, która stanowi poważne zagrożenie dla użytkowników Androida. Umożliwia połączenie legalnych aplikacji z malware, znacznie zwiększając ryzyko zainfekowania sprzętu.
Nasze smartfony już od dawna nie służą wyłącznie do komunikacji. Obecnie pełnią funkcję portfeli, kluczyków do auta, kluczy do domu, a także furtek do portali społecznościowych, dlatego stanowią bardzo łakomy kąsek dla hakerów. Cyberprzestępcy nieustannie pracują nad nowymi metodami ataku urządzeń mobilnych, pozwalających im przejąć nad nimi pełną kontrolę.
Zombinder ułatwi ukrywanie malware w aplikacjach
Najpowszechniejszą formą ataku są zainfekowane aplikacje dostępne w cyfrowych sklepach. Zazwyczaj dość szybko da się je wykryć, ponieważ stanową tylko nośnik dla robaka i rzadko kiedy działają poprawnie. Łatwo więc zorientować się, że coś jest z nimi nie tak.
Wkrótce może się to zmienić, gdyż specjaliści z firmy ThreatFabric odkryli w daknecie nową platformę Zombinder, która może ułatwić hakerom życie. Oferuje bowiem złośliwe APK, umożliwiające podpięcie malware do legalnych aplikacji na Androida. Platforma zaczęła działać w marcu bieżącego roku i według ekspertów szybko zdobywa popularność w przestępczej społeczności.
Pliki APK używane w tej kampanii są różne. Analitycy zgłaszają m.in., fałszywą aplikację do transmisji na żywo meczy piłki nożnej oraz zmodyfikowaną wersję aplikacji Instagram. Najgorsze jest to, że te aplikacje działają zgodnie z oczekiwaniem, gdyż pozostaje funkcjonalność legalnego oprogramowania.
Zamiast tego Zombinder dołącza do ich kodu loadera ładującego złośliwe oprogramowanie. Stworzono go w taki sposób, aby unikał wykrycia, więc gdy użytkownik uruchomi aplikację, loader wyświetli komunikat o konieczności zainstalowania wtyczki. Kiedy użytkownik go zaakceptuje, wówczas instaluje złośliwe oprogramowanie i uruchamia je w tle.
Dostawca usługi twierdzi, że utworzonych za jego pomocą pakietów złośliwych aplikacji nie da się wykryć w czasie wykonywania. Mogą też obchodzić alerty Google Protect lub antywirusy działające na urządzeniach docelowych.
Kampanię wykorzystano m.in., do dystrybucji trojana Ermac. Jest w stanie działać jako keylogger, kraść emaile z Gmaila, przechwytywać kody 2FA oraz atakować portfele kryptowalut. Kradnie także loginy i hasła do aplikacji bankowych.
Technogadżet w liczbach