暗网上的Zombinder让黑客可以将恶意软件添加到合法应用程序中

admin
admin
admin
139543
文章
114
评论
2022年12月13日10:28:54评论100 views字数 1917阅读6分23秒阅读模式

暗网上的Zombinder让黑客可以将恶意软件添加到合法应用程序中

©网络研究院

ThreatFabric 的安全研究人员报告了一个新的暗网平台,网络犯罪分子可以通过该平台轻松地将恶意软件添加到合法的 Android 应用程序中。

这个被称为 Zombinder 的平台是在调查诈骗者分发多种Windows 和 Android 恶意软件的活动时被发现的,其中包括 Ermac、Laplas “clipper”、Erbium 和 Aurora stealer 等 Android 银行恶意软件。

就在几天前,一个名为InTheBox的新暗网市场出现在网上,为智能手机恶意软件开发商和运营商提供服务。

进一步的探测帮助研究人员将对手追踪到名为 Zombinder 的第三方暗网服务提供商。它被确定为2022年3月推出的应用程序编程接口绑定服务。

根据 ThreatFabric 的博客文章,许多不同的威胁参与者正在使用此服务并在黑客论坛上为其做广告。

在一个这样的论坛上,该服务被宣传为一种通用绑定器,可以将恶意软件与几乎所有合法应用程序绑定在一起。

该活动旨在通过模仿 WiFi 授权门户帮助用户访问互联网点。实际上,它推动了几种不同的恶意软件变种。

暗网上的Zombinder让黑客可以将恶意软件添加到合法应用程序中

Zombinder 做什么?


在 ThreatFabric 研究人员检测到的活动中,该服务正在分发伪装成 VidMate 应用程序的Xenomorph 银行恶意软件。


它通过从模仿应用程序原始网站的恶意网站宣传/下载的修改后的应用程序进行分发。受害者被恶意广告引诱访问该网站。


受 Zombinder 感染的应用程序就像它在市场上销售的那样工作,而恶意活动在后台进行,受害者对恶意软件感染一无所知。

暗网上的Zombinder让黑客可以将恶意软件添加到合法应用程序中

目前,Zombinder 完全专注于 Android 应用程序,但服务运营商提供 Windows 应用程序绑定服务。

下载受感染 Windows 应用程序的人也会收到 Erbium 窃取器。

它是一种臭名昭著的 Windows 恶意软件,用于窃取存储的密码、cookie、信用卡详细信息和加密货币钱包数据。

值得注意的是,恶意网站的登陆页面上有两个下载按钮,一个用于 Windows,另一个用于 Android。

当用户单击“为 Windows 下载”按钮时,他们会收到专为 Microsoft 操作系统设计的恶意软件,包括 Aurora、Erbium 和 Laplas clipper。

相反,Android 版下载按钮分发Ermac 恶意软件。

如何保持保护?


如果您想保持安全,即使您迫切希望使特定产品正常运行,也不要旁加载应用程序。


此外,避免将来自不真实或未知来源的应用程序安装到您的 Android 手机上,并依赖合法来源,例如 Google Play Store、Amazon Appstore 或 Samsung Galaxy Store。


在安装新应用程序之前,请始终查看应用程序的评级和评论,并查看应用程序开发人员的网站。


暗网上的Zombinder让黑客可以将恶意软件添加到合法应用程序中

这些应用程序伪装成修改版的 Instagram、WiFi 自动身份验证器、足球直播等。包名也与合法应用程序相同。

事实上,攻击者使用暗网上提供的第三方服务将投放器功能“粘合”或绑定到合法应用程序。下载绑定的应用程序后,它将像往常一样运行,除非它显示一条消息,说明该应用程序需要更新。此时,如果被受害者接受,看似合法的应用程序将安装此更新,这就是 Ermac。从安装应用程序到设备上运行 Ermac 的整个过程可以在下图中看到。

暗网上的Zombinder让黑客可以将恶意软件添加到合法应用程序中

此类过程是通过将混淆的恶意负载“粘合”到合法应用程序,并对原始源代码进行少量更新以包括恶意负载的安装和加载来实现的。我们将此植入程序称为“Zombinder”,因为它获取原始应用程序并将恶意代码绑定到它,使其成为安装所需负载的“僵尸”。

绑定服务由威胁领域的知名参与者提供,是主要项目的补充:Android 犯罪现场的多个演员使用的混淆工具。绑定服务本身于 2022 年 3 月宣布,现在似乎被不同的参与者频繁使用。

暗网上的Zombinder让黑客可以将恶意软件添加到合法应用程序中

在我们的调查过程中,我们观察到几个与此活动相关的桌面木马。当我们第一次发现它时,分发了一个加密的存档,其中包含下载文件名称中的密码。这是威胁行为者用来避免防病毒引擎检测到原始下载文件的常用技术。该存档包含Erbium stealer样本,这是网络犯罪分子中非常流行的 Windows 特洛伊木马程序,能够窃取(以及其他数据)保存的密码、信用卡详细信息、来自各种浏览器的 cookie 以及“冷”(离线)加密货币钱包数据来自桌面应用程序和浏览器扩展。窃取者在网络犯罪分子的论坛和 Telegram 频道上做广告。

暗网上的Zombinder让黑客可以将恶意软件添加到合法应用程序中

原文链接:

https://www.threatfabric.com/blogs/zombinder-ermac-and-desktop-stealers.html

原文始发于微信公众号(网络研究院):暗网上的Zombinder让黑客可以将恶意软件添加到合法应用程序中

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月13日10:28:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   暗网上的Zombinder让黑客可以将恶意软件添加到合法应用程序中https://cn-sec.com/archives/1460597.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息