ThreatFabric araştırmacıları, kötü amaçlı yazılım yüklerini meşru Android uygulamalarına bağlamak için kullanılan üçüncü taraf bir karanlık ağ hizmeti olan ‘Zombinder’ı buldu.
Kullanıcıları kötü amaçlı bir yük yüklemeleri için kandırmak amacıyla, kötü amaçlı bir yükü meşru bir uygulamaya bağlamak için kullanılır.
ThreatFabric araştırmacılarına göre, “Android bankacılık Truva Atı Ermac’ın etkinliğini analiz ederken, ThreatFabric’in analistleri, birkaç Truva Atı kullanan ve aynı anda hem Android hem de Windows kullanıcılarını hedefleyen, mümkün olduğu kadar çok kurbana ulaşmak için bir kampanya keşfetti”.
Analistler, Ermac’ın davranışını incelediklerinde Wi-Fi yetkilendirme uygulamaları kılığına giren ilginç bir kampanya tespit ettiler. Sadece iki butonla sahte, tek sayfalık bir web sitesinde ilan edildi.
Web sitesi daha sonra bir kullanıcıya uygulamanın aslında kötü amaçlı yazılım olan Windows veya Adware sürümünü indirme seçeneği sunar.
Keylogging, bindirme saldırıları gerçekleştirme, Gmail’den e-postaları çalma, 2FA kodlarını ele geçirme ve kripto cüzdan tohum cümlelerini çalma yeteneğine sahipti.
“Aktör, damlalık yeteneklerini meşru bir uygulamaya “yapıştırmak” veya bağlamak için karanlık ağda sağlanan bir üçüncü taraf hizmeti kullandı. Bağlı uygulamayı indirdikten sonra, uygulamanın güncellenmesi gerektiğini belirten bir mesaj göstermediği sürece her zamanki gibi çalışacaktır” diyor araştırmacılar.
Kurban güncellemeyi kabul ederse, uygulama yasal gibi görünse bile Ermac kurulacaktır.
Yeni ‘Zombinder’ Platformu
ThreatFabric’e göre, ilk olarak Mart 2022’de APK dosyaları için bir kötü amaçlı yazılım paketleyici olarak ortaya çıkan Zombinder, şu anda bilgisayar korsanları arasında giderek daha fazla tanınmaya başlıyor.
Analistler, bu kampanyada kullanılan diğer APK’lar arasında sahte bir canlı futbol akışı uygulaması ve değiştirilmiş bir Instagram uygulaması gördüklerini iddia ediyorlar. Meşru yazılımın işlevselliği korunduğu için bu uygulamalar amaçlandığı gibi çalışır. Zombinder ise koduna bir kötü amaçlı yazılım yükleyici ekler.
Zombinder hizmet sağlayıcısına göre, onunla oluşturulan kötü amaçlı uygulama paketleri, hedef cihazlara yüklenen Google Protect alarmlarından ve AV’lerden kaçabiliyor ve neredeyse tespit edilemiyor.
ThreatFabric, kampanyada Erbium hırsızı, Laplas kırpıcı ve Aurora bilgi hırsızını içeriyor. Siber suçlular arasında iyi bilinen bir Windows Truva Atı olan Erbium hırsızı, (diğer verilerin yanı sıra) kayıtlı şifreleri, kredi kartı bilgilerini, çeşitli tarayıcılardan çerezleri ve hem masaüstü uygulamalarından hem de “soğuk” (çevrimdışı) kripto para cüzdanı verilerini çalabilir. tarayıcı uzantıları.
Laplas, kullanıcılarına kurbanın kopyaladığı bir kripto para cüzdan adresini kullanıcının kontrol ettiği bir adresle değiştirme fırsatı veren, darknet pazarında nispeten yeni bir üründür.
Aurora, son zamanlarda yeraltı forumlarında ilgi görmeye başlayan bir Golang hırsızıdır. Bu özel yapıyla ilgili öne çıkan şey, boyutudur: 300 MB’den fazla. Verilerin çoğu yalnızca sıfır baytlarla dolu bir “bindirme” olduğundan, antivirüs motorları tarafından algılanmayı engellemek için bir taktiktir.
Son söz
ThreatFabric, “Birden çok platformu hedefleyen aktörler, daha geniş bir “kitleye” ulaşabiliyor ve daha fazla dolandırıcılıkta kullanmak üzere daha fazla PII çalabiliyor” diyor.
ThreatFabric’e göre, aynı açılış sayfaları tarafından gönderilen çok çeşitli truva atları, tek bir üçüncü taraf kötü amaçlı yazılım dağıtım hizmetinin bir dizi tehdit aktörünü desteklediğini düşündürebilir.
Hizmet Olarak Sızma Testi – Red Team ve Blue Team Workspace’i İndirin