Приложения для Android «отравлены» этой ужасной вредоносной программой
13 декабря 2022 г.Исследователи обнаружили программу, которая привязывает вредоносное ПО к легальным приложения для Android.
Как сообщает < a href="https://www.theregister.com/2022/12/09/zombinder_android_windows_malware/" target="_blank">Реестр, Аналитики компании ThreatFabric, специализирующейся на кибербезопасности, узнали о сервисе Zombinder во время расследования другой кампании по распространению вредоносного ПО с использованием банковского трояна ERMAC, который TechRadar Pro ранее сообщил.
В своем отчет, сообщили исследователи, «при расследовании ERMAC, наши исследователи обнаружили интересную mpaign, маскирующиеся под приложения для авторизации Wi-Fi. Он распространялся через поддельный одностраничный веб-сайт, содержащий всего две кнопки."
ERMAC и дропперы
Эти кнопки служили ссылками для скачивания разработанных ERMAC «фиктивных» приложений для Android, которые бесполезны для конечного пользователя, но предназначены для регистрации нажатий клавиш, а также для кражи двухфакторная аутентификация (2FA) коды, электронная почта учетные данные и bitcoin wallet seed-фразы, среди прочего.
Однако, хотя некоторые из вредоносных приложений, доступных на платформе, скорее всего, ответственности основного разработчика ERMAC Дюка Юджина, команда также обнаружила, что некоторые из приложений были замаскированы под законные экземпляры приложения Instagram, а также другие приложения, которые есть в Google Play Store.
Как это часто бывает в случае с кампаниями вредоносных программ, «дроппер», полученный из даркнета, используется злоумышленниками, чтобы их приложения могли избежать обнаружения, в в этом случае, Зомбиндер. Дропперы устанавливают то, что функционально является чистой версией приложения, но затем предоставляют пользователям обновление, содержащее вредоносное ПО.
Это умная система доставки, особенно с приложениями, которые претендуют на то, чтобы быть обычными, «надежные» поставщики, такие как Meta, поскольку пользователи с большей вероятностью установят обновление от разработчиков приложений, которых они узнают.
Об этой конкретной службе дроппера было объявлено в марте 2022 года, и, согласно ThreatFabric, она уже стала популярной благодаря количество субъектов угрозы.
Атаки типа "дроппер" в значительной степени стали возможными из-за "открытой" природы Android, позволяющей пользователям "загружать" приложения, полученные из репозиториев, отличных от Google Play Store, и даже от самих разработчиков приложений.
Хотя эта открытая экосистема приносит пользу пользователям, заботящимся о безопасности, пользователи, рассматривающие ее исключительно как средство пиратства приложений, которые обычно стоят денег, например, могут стать легкой добычей для злоумышленников, вооруженных банковскими троянами, которые затем бесплатно красть данные, учетные данные и даже деньги невиновных пользователей.
- Вот наш список лучших брандмауэров прямо сейчас
Оригинал