В даркнете обнаружена платформа Zombinder для троянизации Android-приложений

Исследователи безопасности из ThreatFabric обнаружили в даркнете новый сервис под названием Zombinder. Заявляется, что он позволяет киберпреступникам легко внедрять вредоносное ПО в законные приложения Android и красть данные.

Согласно отчёту ThreatFabric, атаки включают использование различных вредоносных программ, таких как ERMAC, Erbium, Aurora и Laplas, для кражи личной идентифицируемой информации, захвата электронных писем из приложения Gmail, слежки за кодами двухфакторной аутентификации и кражи начальных фраз из различных криптокошельков.

В качестве приманки для продвижения различных семейств вредоносных программ кампания выдает себя за порталы авторизации Wi-Fi, якобы помогая пользователям получить доступ к интернет-точкам. Затем сайт предлагает пользователю загрузить версию приложения для Windows или рекламного программного обеспечения, которое на самом деле является вредоносным ПО.

В результате после загрузки связанного приложения законное приложение будет работать нормально. Затем отображается сообщение, информирующее вас о том, что его необходимо обновить. Приложение установит вредоносное ПО Ermac, как только жертва примет это обновление.

Под видом приложения VidMate сервис Zombinder также распространял банковское вредоносное ПО Xenomorph. Модифицированное приложение рекламируется и загружается с вредоносного веб-сайта, который имитирует исходный веб-сайт приложения, при этом жертва обманным путем вынуждается к посещению этого сайта с помощью вредоносной рекламы.