Изследователи на киберзаплахи са открили платформа за маскиране, която прикрепя злонамерен софтуер към легитимни приложения за Android, за да примами потребителите да инсталират злонамерения файл и да затрудни откриването му от програмите за сигурност.

Докато разследваха кампания, насочена към потребители на Android и Windows,  анализатори от доставчика на киберсигурност ThreatFabric откриха в тъмната мрежа платформата, наречена Zombinder. Тя се появи, докато изследователите анализираха банковия троянски кон Ermac. Това даде доказателства за друга кампания, използваща множество троянски коне, които се разпространяват чрез зловреден софтуер за настолни компютри.

„Докато разследваха дейността на Ermac, нашите изследователи забелязаха интересна кампания, маскирана като приложения за Wi-Fi авторизация“, пише екипът. „Той беше разпространен чрез фалшив уебсайт от една страница, съдържаща само два бутона.“

Бутоните предлагат версии както за Windows, така и за Android. Те водят до изтеглянето на Ermac, който може да открадне съобщения в Gmail, двуфакторни кодове за удостоверяване и начални фрази от портфейли за криптовалута. Освен това е и инструмент за записване на всеки натиснат клавиш.

„Въпреки това друга подробност привлече вниманието ни: някои от изтеглените приложения не бяха директно Ermac, а „легитимно“ приложение, което по време на нормалната си работа инсталира Ermac като полезен товар, насочен към множество банкови приложения“, казват изследователите.

Тези приложения по същество са модифицирани версии на законни приложения, от услуга за стрийминг на футболни срещи до инструмент за удостоверяване на Wi-Fi мрежи. Пакетите със зловреден софтуер, свързани с тях, носеха същото име като легитимните приложения.

Изследователите открили, че киберпрестъпниците са използвали услуга на трета страна – Zombinder, – която е предоставила „лепилото“ за свързване на зловреден софтуер към легитимното приложение. Веднъж изтеглено, приложението – вече свързано със злонамерения софтуер – работи според очакванията, докато не се появи съобщение за актуализация.

„В този момент, ако бъде прието от жертвата, привидно легитимното приложение ще инсталира тази актуализация, която не е нищо друго освен Ermac“, пишат те. „Такъв процес се постига чрез „залепване“ на скрит злонамерен файл към легитимно приложение с незначителни актуализации, направени на оригиналния изходен код, за да се включи инсталирането и зареждането на злонамерения полезен товар.“

Опасните APK файлове са били достъпни от март и често се използват от различни атаки, пишат изследователите. Произходът сочи към хакер, „добре известен в света на онлайн заплахите“.

Реклама за Zombinder във форум на тъмната мрежа обяснява, че „обвързването е необходимо, за да инсталирате вашия бот, като накарате потенциалната жертва да се почувства по-сигурна и да се довери на законния софтуер, в който ще бъде вграден вашият Android бот“. Последната кампания, използваща Zombinder, разпространи банковия троянски кон Xenomorph, залепен към приложението от компания за изтегляне на мултимедия, като жертвата бива привлечена чрез злонамерени реклами. Zombinder стартира Xenomorph дори когато легитимното приложение работи нормално за нищо неподозиращата жертва.

Киберпрестъпниците предпочитат приложения, насочени към мобилни устройства, но изненадата на екипа е била голяма, когато са разбрали, че този е насочен и към настолни приложения под Windows.

Троянският кон Erbium се използва срещу потребители на Windows, като краде данни, включително запазени пароли, данни за кредитни карти, бисквитки на браузъра и крипто портфейли.

Друг зловреден софтуер, изтеглен на същото устройство, беше Laplas clipper: сравнително нова заплаха, която позволява на киберпрестъпниците да заменят копирания адрес на крипто портфейла на получателя на трансфер с такъв, контролиран от нападателите. Чрез злонамерения сайт се разпространява и Aurora: Windows крадец на данни, написан на езика Golang.

Използването на толкова много различни троянски коне може да означава, че злонамерената страница се използва от множество мошеници, които я получават чрез услуга за разпространение на трета страна, смятат изследователите. Комбинацията от разработване и разпространение на зловреден софтуер и множество тактики за използването му е индикация за нарастващата сложност на киберзаплахите.

Снимка: Unsplash

Виж още: Microsoft прави супер приложение, което да разбие мобилния монопол на Apple и Google