Support technique
Documentation
Connexion
Nous contacter
Le malware Zombinder imite les applications originales pour voler des données
Obanla Opeyemi
20 décembre 2022 - L'équipe d'experts de TuxCare
Les chercheurs de ThreatFabric ont découvert le service Zombinder, qui permet aux cybercriminels d'intégrer facilement des logiciels malveillants dans des applications légitimes et de voler des données tout en faisant des ravages sur l'appareil.
Afin de propager son malware, la campagne se fait passer pour des portails d'autorisation Wi-Fi, aidant ainsi ostensiblement les utilisateurs à accéder à des points Internet. Le site invite ensuite l'utilisateur à télécharger une version Windows ou Adware de l'application, qui est en fait un malware.
Selon le rapport de ThreatFabric, les attaques impliquent l'utilisation de logiciels malveillants tels que ERMAC, Erbium, Aurora et Laplas pour voler des informations personnelles identifiables, récupérer des e-mails de l'application Gmail, espionner les codes d'authentification à deux facteurs et voler des phrases d'amorçage de divers portefeuilles de crypto-monnaie. Les chercheurs ont également déclaré qu'il était distribué par le biais d'un faux site Web à une seule page avec seulement deux boutons.
Les boutons proposaient des téléchargements pour Windows ou Android. En cliquant sur ce dernier, Ermac a été téléchargé, qui est capable de voler les messages Gmail, les codes d'authentification à deux facteurs et les phrases d'amorçage des portefeuilles de crypto-monnaies. Il fonctionne également comme un enregistreur de frappe. Le téléchargement de l'application Windows entraîne la diffusion des logiciels malveillants Aurora et Erbium, ainsi que du clipper Laplas.
L'attaque commence par une application d'autorisation Wi-Fi qui est en fait Ermac avec un code malveillant obfusqué se faisant passer pour une mise à jour du navigateur. Bien que certaines des applications ne soient pas directement Ermac, il s'agissait d'applications légitimes qui installaient Ermac comme charge utile ciblant plusieurs applications bancaires tout en s'exécutant normalement.
Ces applications sont déguisées en versions modifiées d'Instagram, de WiFi Auto Authenticator, de Football Live Streaming, etc. Les noms des paquets étaient également identiques à ceux utilisés par les applications légitimes. L'application fonctionnera normalement après son téléchargement. Puis un message apparaîtra pour dire qu'elle doit être mise à jour. Une fois que la victime accepte la mise à jour, l'application installe le malware Ermac.
Une autre campagne utilise Zombinder pour distribuer le cheval de Troie bancaire Xenomorph, qui est intégré à une application d'une société de téléchargement de médias, la victime étant attirée par des publicités malveillantes. Même si l'application légitime fonctionne normalement pour la victime peu méfiante, Zombinder dépose et lance Xenomorph.
Les sources de cet article comprennent un article de TheHackerNews.
