Peneliti ancaman telah menemukan platform yang dikaburkan yang melampirkan malware ke aplikasi Android yang sah untuk mengelabui pengguna agar memasang muatan berbahaya dan mempersulit alat keamanan untuk mendeteksi.

Analis di vendor cybersecurity ThreatFabric menemukan platform yang dijuluki “Zombinder” di darknet saat menyelidiki kampanye yang menargetkan pengguna Android dan Windows dengan berbagai jenis malware.

Zombinder ditemukan saat peneliti menganalisis kampanye yang melibatkan trojan perbankan Android Ermac. Upaya tersebut menghasilkan bukti kampanye lain menggunakan beberapa Trojan yang menargetkan sistem Android dan Windows. Bersama dengan Ermac, itu mendistribusikan malware desktop termasuk Erbium, pencuri Aurora, dan clipper Laplas.

“Saat menyelidiki aktivitas Ermac, peneliti kami mengamati kampanye menarik yang menyamar sebagai aplikasi lisensi Wi-Fi,” tulis para peneliti. “Itu didistribusikan melalui situs satu halaman palsu yang hanya berisi dua tombol.”

Tombol menawarkan unduhan untuk Windows atau Android. Mengklik Ermac yang diunduh terakhir, yang dapat mencuri pesan Gmail, kode otentikasi dua faktor, dan frase kunci dari dompet cryptocurrency. Ini juga merupakan pencatat kunci.

“Namun, detail lain menarik perhatian kami: beberapa program yang diunduh bukan Ermac secara langsung, tetapi program ‘sah’ yang, selama operasi normalnya, salah mengartikan Ermac sebagai beban yang ditujukan untuk menginstal beberapa aplikasi perbankan.

Aplikasi ini pada dasarnya adalah versi modifikasi dari aplikasi yang sah, dari layanan streaming sepak bola hingga alat autentikasi Wi-Fi. Bundel malware yang menyertainya juga memiliki nama yang sama dengan program yang sah.

Para peneliti menemukan bahwa penjahat dunia maya menggunakan layanan pihak ketiga – Zombinder – yang menyediakan “perekat” untuk menghubungkan kemampuan dropper malware ke program yang sah. Setelah diunduh, aplikasi — sekarang terpasang ke malware — berfungsi seperti yang diharapkan hingga pesan pembaruan muncul.

“Pada titik ini, jika diterima oleh korban, program yang tampaknya sah menginstal pembaruan ini, yang tidak lain adalah Ermac,” tulis mereka. “Proses seperti itu dicapai dengan ‘menempelkan’ [an] Konten malware telah dibuat menjadi program yang sah dengan pembaruan kecil pada kode sumber asli untuk menyertakan penginstalan dan pengunduhan malware.”

Menurut peneliti, layanan pengikatan APK telah tersedia sejak Maret dan sering digunakan oleh berbagai serangan. Ini disediakan oleh apa yang mereka katakan sebagai “aktor terkenal di lanskap ancaman”.

Sebuah iklan untuk Zombinder di forum darknet menjelaskan bahwa “diperlukan tautan untuk menginstal bot Anda sehingga calon korban merasa lebih aman dan mempercayai perangkat lunak sah yang disematkan bot Android Anda.”

Kampanye terbaru menggunakan Zombinder mendistribusikan trojan perbankan Xenomorph yang ditempelkan ke dalam program dari perusahaan pengunduhan media, dan korban ditipu melalui iklan berbahaya. Zombinder mengabaikan dan meluncurkan Xenomorph, bahkan ketika program yang sah berjalan normal pada korban yang tidak menaruh curiga.

Yang juga unik untuk kampanye ini adalah penambahan tombol “Unduh untuk Windows” di situs lisensi Wi-Fi palsu yang mendistribusikan Ermac. Sangat umum bagi penjahat dunia maya yang menargetkan perangkat seluler untuk menggunakan beberapa Trojan untuk menargetkan sejumlah platform, tetapi yang satu ini juga menargetkan aplikasi desktop Windows, mendistribusikan Ermac dengan malware lain.

Erbium Trojan digunakan untuk melawan pengguna Windows dan mencuri data termasuk kata sandi yang disimpan, detail kartu kredit, cookie browser, dan dompet crypto. Erbium digunakan selama kampanye pemilu untuk mencuri informasi dari lebih dari 1.300 korban, di antara ribuan korban yang diserang selama kampanye pemilu secara keseluruhan.

Sepotong malware lain yang diunduh ke perangkat yang sama adalah penjepit Laplace, ancaman yang relatif baru yang memungkinkan penjahat dunia maya untuk mengganti alamat dompet crypto penerima yang disalin dengan alamat yang dikendalikan oleh penyerang. Itu juga didistribusikan melalui situs malware Aurora, sebuah pembajak Windows yang ditulis dalam bahasa Golang.

“Poin penting tentang yang satu ini [Aurora] Ukuran build-nya adalah: lebih dari 300 MB. “Ini kemungkinan taktik untuk mengatasi deteksi oleh mesin antivirus, karena sebagian besar data hanyalah ‘bungkus’ yang diisi dengan nol byte,” tulis para peneliti. Sementara itu, muatan sebenarnya dienkripsi dan dikemas selama eksekusi program. “

Para peneliti percaya bahwa penggunaan Trojan yang berbeda dapat menunjukkan bahwa halaman otorisasi Wi-Fi jahat sedang digunakan oleh banyak penipu yang mendapatkannya melalui layanan distribusi pihak ketiga. Kombinasi pengembangan dan distribusi malware, serta berbagai taktik yang digunakan untuk mengeksploitasinya, merupakan tanda semakin canggihnya ancaman dunia maya.

Selain itu, dengan menargetkan berbagai platform, grup ancaman dapat menjangkau lebih banyak korban dan mencuri lebih banyak informasi yang kemudian dapat digunakan dalam kampanye mendatang.

Zombinder adalah pengingat terbaru tentang bahaya aplikasi pihak ketiga dan situs unduhan APK, dari Chris Hawke, juara privasi konsumen di Pixel Privacy.

“Malware-as-a-service adalah masalah yang berkembang yang memungkinkan aktor jahat mana pun mendatangkan malapetaka dengan sedikit atau tanpa keterampilan pemrograman,” kata Hawke. Daftar. “Inilah sebabnya mengapa pengguna tidak boleh memasang aplikasi dari luar Google Play Store.®