El malware Zombinder imita aplicaciones originales para robar datos
Los investigadores de ThreatFabric han descubierto el servicio Zombinder, que permite a los ciberdelincuentes incrustar fácilmente malware en aplicaciones legítimas y robar datos al tiempo que causan estragos en el dispositivo.
Para difundir su malware, la campaña se hace pasar por portales de autorización Wi-Fi, que aparentemente ayudan a los usuarios a acceder a puntos de Internet. A continuación, el sitio pide al usuario que descargue una versión Windows o Adware de la aplicación, que en realidad es malware.
Los ataques implican el uso de malware como ERMAC, Erbium, Aurora y Laplas para robar información personal identificable, hacerse con correos electrónicos de la aplicación Gmail, espiar códigos de autenticación de dos factores y robar frases semilla de varias criptocarteras, según el informe de ThreatFabric. Los investigadores también afirmaron que se distribuía a través de un sitio web falso de una sola página con sólo dos botones.
Los botones ofrecían descargas para Windows o Android. Al hacer clic en este último, se descargaba Ermac, capaz de robar mensajes de Gmail, códigos de autenticación de dos factores y frases semilla de carteras de criptomonedas. También funciona como keylogger. Por su parte, la descarga de la aplicación aparentemente para Windows hace que se distribuya el malware Aurora y Erbium stealer, así como el clipper Laplas.
El ataque comienza con una aplicación de autorización Wi-Fi que en realidad es Ermac con ofuscación de código malicioso enmascarado como una actualización del navegador. Aunque algunas de las aplicaciones no eran directamente Ermac, eran aplicaciones legítimas que instalaban Ermac como carga útil dirigida a múltiples aplicaciones bancarias mientras se ejecutaban normalmente.
Este tipo de aplicaciones se camuflan como versiones modificadas de Instagram, WiFi Auto Authenticator, Football Live Streaming, etc. Los nombres de los paquetes también eran idénticos a los utilizados por las aplicaciones legítimas. La aplicación funcionará normalmente después de descargarla. Luego aparecerá un mensaje diciendo que necesita ser actualizada. Una vez que la víctima acepta la actualización, la app instalará el malware Ermac.
Otra campaña emplea a Zombinder para distribuir el troyano bancario Xenomorph, que se acopla a una aplicación de una empresa de descarga de archivos multimedia, atrayendo a la víctima a través de anuncios maliciosos. Aunque la aplicación legítima se ejecuta normalmente para la víctima desprevenida, Zombinder suelta y lanza Xenomorph.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.