ZOMBINDER UNE EL MALWARE DE ANDROID CON APLICACIONES LEGITIMAS

Una plataforma de la dark web denominada ‘Zombinder’ permite a los ciberdelincuentes vincular el malware a las aplicaciones legítimas de Android, lo que hace que las víctimas se infecten mientras aún tienen la funcionalidad completa de la aplicación original para evadir sospechas.

Esta nueva plataforma fue descubierta por la firma de seguridad cibernética ThreatFabric, que detectó campañas maliciosas de Windows y Android que distribuían múltiples familias de malware.

La campaña se hace pasar por portales de autorización Wi-Fi, supuestamente ayudando a los usuarios a acceder a puntos de Internet como un señuelo para impulsar varias familias de malware. Luego, el sitio solicita al usuario que descargue una versión de Windows o Adware de la aplicación, que en realidad es malware.

Zombinder para Android

Un aspecto interesante de la campaña es el servicio darknet, que los investigadores denominaron “Zombinder”, que ofrece enlaces APK maliciosos de malware a aplicaciones legítimas de Android.

Zombinder se lanzó en marzo de 2022 como un empaquetador de malware en archivos APK y, según ThreatFabric, ahora se está volviendo popular en la comunidad del cibercrimen.

Los APK utilizados en esta campaña varían, y los analistas informaron haber visto una aplicación de transmisión de fútbol en vivo falsa y una versión modificada de la aplicación de Instagram.

Estas aplicaciones funcionan como se espera porque no se elimina la funcionalidad del software legítimo. En cambio, Zombinder agrega un cargador de malware a su código.

El cargador está ofuscado para evadir la detección, por lo que cuando el usuario inicia la aplicación, el cargador mostrará un aviso para instalar un complemento. Si se acepta el aviso, el cargador instalará una carga útil maliciosa y la ejecutará en segundo plano.

El proveedor de servicios de Zombinder afirma que los paquetes de aplicaciones maliciosos creados con él son indetectables en tiempo de ejecución y pueden pasar por alto las alertas de Google Protect o los AV que se ejecutan en los dispositivos de destino.

La campaña lanza una  carga útil de Ermac  para Android, capaz de realizar registros de teclas, ataques de superposición, robar correos electrónicos de Gmail, interceptar códigos 2FA y robar frases semilla de billeteras criptográficas.