Plataforma de malware Zombinder

Los malintencionados actores de amenazas han encontrado una nueva forma de propagar malware e infectar a víctimas desprevenidas mediante el uso de una plataforma Dark Net llamada 'Zombinder'. Esta plataforma permite a los actores de amenazas vincular un código corrupto a aplicaciones legítimas de Android, lo que les permite distribuirse de manera indetectable.

Las campañas de ataque fueron descubiertas por investigadores de ciberseguridad. Según sus hallazgos, el amenazante operativo ha logrado impactar a miles de víctimas. De hecho, solo la amenaza Erbium Stealer desplegada como parte del ataque ha logrado infectar 1.300 dispositivos.

Vectores de infección y malware entregado

Los ciberdelincuentes han creado un sitio web que parece legítimo como señuelo para engañar a los usuarios para que descarguen malware. El sitio corrupto supuestamente proporciona a los usuarios una aplicación para la autorización de Wi-Fi. Los visitantes tienen dos opciones, dependiendo de su plataforma preferida. Pueden hacer clic en los botones 'Descargar para Windows' o 'Descargar para Android'. En ambos casos, la aplicación descargada llevará el código corrupto, pero las amenazas implementadas difieren según el sistema del usuario.

Si los visitantes del sitio web hacen clic en el botón 'Descargar para Windows', es posible que Erbium Stealer, Laplas Clipper o Aurora Info-stealer infecten sus computadoras. Estos programas maliciosos son herramientas sofisticadas que utilizan los ciberdelincuentes para recopilar información personal, como contraseñas, números de tarjetas de crédito y datos bancarios. Los actores de amenazas que utilizan estas cepas suelen comprar el acceso a ellas a los desarrolladores originales por unos cientos de dólares estadounidenses al mes. Una vez dentro de una computadora, estas amenazas pueden causar daños significativos.

Por otro lado, el botón 'Descargar para Android' conduce a una muestra del troyano bancario Ermac , clasificado por los investigadores de infosec como Ermac.C. Esta variante amenazante tiene muchas funciones dañinas, incluida la capacidad de superponer aplicaciones para el robo de información personal, el registro de teclas, la recopilación de correos electrónicos de las aplicaciones de Gmail, la interceptación de códigos de autenticación de dos factores y la recopilación de frases iniciales de varias billeteras de criptomonedas.

La plataforma Zombinder arma las aplicaciones legítimas

La rama de Android de la campaña amenazante utilizó un servicio Dark Net llamado 'Zombinder'. La plataforma es capaz de adjuntar APK comprometidos a aplicaciones de Android legítimas. Según los expertos, Zombinder se lanzó por primera vez en marzo de 2022 y, desde entonces, ha comenzado a ganar terreno entre los ciberdelincuentes. Entre las aplicaciones distribuidas como parte de la operación, se encontraban versiones modificadas de una aplicación de transmisión de fútbol en vivo, la aplicación de Instagram, etc.

El uso de Zombinder permite a los atacantes preservar la funcionalidad original de las aplicaciones elegidas, haciéndolas parecer mucho menos sospechosas para las víctimas. Zombinder logra este resultado al inyectar un cargador/cuentagotas de malware ofuscado en las aplicaciones. Después de la instalación, el programa funcionará como se esperaba, hasta que se muestre un aviso que indique que la aplicación debe actualizarse. Si el usuario acepta, la aplicación de apariencia legítima buscará y descargará la amenaza Ermac en el dispositivo.