I ricercatori hanno scoperto un programma che collega il malware ad app Android legittime.
Come riportato da The Register (si apre in una nuova scheda), gli analisti della società di sicurezza informatica ThreatFabric hanno scoperto il servizio "Zombinder" mentre indagavano su un'altra campagna di propagazione del malware utilizzando il trojan bancario ERMAC, un malware presente su TechRadar Pro.
Nel loro rapporto (si apre in una nuova scheda), i ricercatori hanno affermato che "durante le indagini sull'attività ERMAC, i nostri ricercatori hanno rilevato un'interessante campagna che si spacciava per richieste di autorizzazione Wi-Fi. È stata distribuita tramite un sito Web falso di una pagina che conteneva solo due bottoni".
ERMAC e contagocce
Questi pulsanti fungevano da collegamenti per il download per le versioni Android di app "fittizie" sviluppate da ERMAC, che sono inutili per l'utente finale ma sono progettate per registrare le sequenze di tasti e rubare l'autenticazione a due fattori (2FA).) codici portafoglio bitcoin, ID e-mail e frasi seme, tra gli altri.
Tuttavia, mentre alcune delle app dannose disponibili sulla piattaforma sono probabilmente responsabilità dello sviluppatore principale di ERMAC DukeEugene, il team ha anche scoperto che alcune delle app erano camuffate da istanze legittime dell'app Instagram, così come altre app che hanno elenchi in il Google Play store.
Come spesso accade con le campagne malware, gli attori delle minacce utilizzano un "dropper" ottenuto dal dark web in modo che le loro applicazioni possano eludere il rilevamento, in questo caso Zombinder. I contagocce installano quella che funzionalmente è una versione pulita dell'app, ma poi presentano agli utenti un aggiornamento che contiene il malware.
Questo è un sistema di consegna intelligente, in particolare con le app che affermano di provenire da fornitori comuni e "affidabili" come Meta, poiché è più probabile che gli utenti installino un aggiornamento dagli sviluppatori di app di quanto non riconoscano.
Questo particolare servizio dropper è stato annunciato nel marzo 2022 e, secondo ThreatFabric, è già diventato popolare tra i vari attori delle minacce.
Gli attacchi "Dropper" sono possibili in gran parte a causa della natura "aperta" di Android, che consente agli utenti di "caricare" app ottenute da repository diversi dal Google Play Store e persino dagli stessi sviluppatori di app.
Mentre questo ecosistema aperto avvantaggia gli utenti attenti alla sicurezza, gli utenti che lo vedono solo come un modo per hackerare app che normalmente costano denaro, ad esempio, possono diventare scelte facili per gli aggressori di trojan bancari, che sono quindi liberi di rubare dati. , credenziali e persino denaro da utenti innocenti.