Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Zombinder-Malware imitiert Originalanwendungen, um Daten zu stehlen
20. Dezember 2022. TuxCare PR Team
ThreatFabric-Forscher haben den Zombinder-Dienst entdeckt, mit dem Cyberkriminelle auf einfache Weise Malware in legitime Anwendungen einbetten und Daten stehlen können, während sie gleichzeitig auf dem Gerät Schaden anrichten.
Um ihre Malware zu verbreiten, gibt sich die Kampagne als Wi-Fi-Autorisierungsportale aus, die den Nutzern angeblich beim Zugriff auf Internet-Points helfen. Die Website fordert den Benutzer dann auf, eine Windows- oder Adware-Version der Anwendung herunterzuladen, die in Wirklichkeit Malware ist.
Bei den Angriffen wird Malware wie ERMAC, Erbium, Aurora und Laplas eingesetzt, um persönliche Daten zu stehlen, E-Mails aus der Gmail-App abzugreifen, Zwei-Faktor-Authentifizierungscodes auszuspionieren und Seed-Phrasen aus verschiedenen Krypto-Wallets zu stehlen, so der ThreatFabric-Bericht. Die Forscher stellten außerdem fest, dass der Schädling über eine gefälschte einseitige Website mit nur zwei Schaltflächen verbreitet wurde.
Die Schaltflächen boten Downloads für Windows oder Android an. Durch Anklicken des letzteren wurde Ermac heruntergeladen, das in der Lage ist, Gmail-Nachrichten, Zwei-Faktor-Authentifizierungscodes und Seed-Phrasen aus Kryptowährungs-Wallets zu stehlen. Es funktioniert auch als Keylogger. Das Herunterladen der angeblichen Windows-App führt zur Verbreitung der Aurora- und Erbium-Stealer-Malware sowie des Laplas-Clippers.
Der Angriff beginnt mit einer App zur Wi-Fi-Autorisierung, bei der es sich in Wirklichkeit um Ermac handelt, wobei der Schadcode als Browser-Update getarnt ist. Obwohl einige der Apps nicht direkt Ermac waren, handelte es sich um legitime Apps, die Ermac als Nutzlast installierten, die auf mehrere Bankanwendungen abzielten, während sie normal liefen.
Solche Apps sind als modifizierte Versionen von Instagram, WiFi Auto Authenticator, Football Live Streaming und so weiter getarnt. Die Paketnamen waren auch identisch mit denen, die von legitimen Anwendungen verwendet werden. Nach dem Herunterladen funktioniert die Anwendung normal. Dann wird eine Meldung angezeigt, dass sie aktualisiert werden muss. Sobald das Opfer das Update annimmt, installiert die App die Ermac-Malware.
Eine andere Kampagne nutzt Zombinder, um den Xenomorph-Bankentrojaner zu verbreiten, der an eine Anwendung eines Medien-Download-Anbieters angehängt ist, wobei das Opfer durch bösartige Werbung angelockt wird. Obwohl die legitime Anwendung für das ahnungslose Opfer ganz normal läuft, wird Xenomorph von Zombinder abgelegt und gestartet.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.
