Pesquisadores de ameaças descobriram uma plataforma de ofuscação que anexa malware a aplicativos Android legítimos para atrair os usuários a instalar a carga maliciosa e dificultar a detecção por ferramentas de segurança. Portanto, aplicativos Android legítimos foram contaminados pelo malware ‘Zombinder’.
Analistas do fornecedor de segurança cibernética ThreatFabric encontraram a plataforma, chamada “Zombinder”, na darknet enquanto investigavam uma campanha que visava usuários de Android e Windows com diferentes tipos de malware.
Zombinder veio à tona enquanto os pesquisadores analisavam uma campanha envolvendo o trojan bancário Ermac Android. Esse esforço rendeu evidências de outra campanha usando vários trojans destinados aos sistemas Android e Windows. Junto com a Ermac, estava distribuindo malware de desktop, incluindo Erbium, Aurora stealer e Laplas clipper.
“Ao investigar a atividade de Ermac, nossos pesquisadores identificaram uma campanha interessante disfarçada de aplicativos para autorização de Wi-Fi”, escrevem os pesquisadores . “Ele foi distribuído por meio de um site falso de uma página contendo apenas dois botões.”
Aplicativos Android legítimos contaminados pelo malware ‘Zombinder’
Os botões ofereciam downloads para Windows ou Android. Clicar no último Ermac baixado, que pode roubar mensagens do Gmail, códigos de autenticação de dois fatores e frases de sementes de carteiras de criptomoeda. Também é um keylogger.
“No entanto, outro detalhe nos chamou a atenção: alguns dos aplicativos baixados não eram diretamente Ermac, mas um aplicativo ‘legítimo’ que, durante sua operação normal, instalou o Ermac como carga útil visando vários aplicativos bancários”, dizem os pesquisadores.
Esses aplicativos eram essencialmente versões modificadas de aplicativos legítimos, de um serviço de streaming de futebol a uma ferramenta autenticadora de Wi-Fi. Os pacotes de malware vinculados a eles também carregavam o mesmo nome dos aplicativos legítimos.
Serviços de terceiros
Os pesquisadores descobriram que os cibercriminosos estavam usando um serviço de terceiros – Zombinder – que fornecia a “cola” para vincular os recursos do conta-gotas de malware ao aplicativo legítimo. Depois de baixado, o aplicativo – agora vinculado ao malware – funcionou conforme o esperado até que uma mensagem de atualização apareceu.
“Neste ponto, se aceito pela vítima, o aplicativo aparentemente legítimo instalará esta atualização, que nada mais é do que Ermac”, escrevem eles. “Esse processo é obtido ‘colando’ [uma] carga maliciosa ofuscada a um aplicativo legítimo com pequenas atualizações feitas no código-fonte original para incluir a instalação e o carregamento da carga maliciosa”.
O serviço de vinculação do APK está disponível desde março e está sendo usado com frequência por diferentes ataques, escrevem os pesquisadores. É fornecido pelo que eles dizem ser “um ator conhecido no cenário de ameaças”.
Um anúncio do Zombinder em um fórum da darknet explica que “a vinculação é necessária para instalar seu bot, fazendo com que uma vítima em potencial se sinta mais segura e confie no software legítimo no qual seu bot android será incorporado”.
A campanha mais recente usando Zombinder distribuiu o trojan bancário Xenomorph colado ao aplicativo de uma empresa de download de mídia, com a vítima atraída por anúncios maliciosos. O Zombinder cai e inicia o Xenomorph mesmo quando o aplicativo legítimo está operando normalmente para a vítima inocente.
Também exclusivo da campanha foi a adição do botão “Download para Windows” no site falso de autorização de Wi-Fi que distribuiu o Ermac. É comum que os cibercriminosos que visam dispositivos móveis usem vários trojans para atingir várias plataformas, mas este também visava aplicativos de desktop do Windows, distribuindo o Ermac com outro malware.
Outros problemas
O trojan Erbium é usado contra usuários do Windows, roubando dados, incluindo senhas salvas, detalhes de cartão de crédito, cookies de navegador e carteiras criptográficas. Erbium foi usado durante a campanha para roubar informações de mais de 1.300 vítimas, entre milhares de pessoas atacadas durante toda a campanha.
Outro malware baixado para o mesmo dispositivo foi o Laplas clipper, uma ameaça relativamente nova que permite que os cibercriminosos substituam o endereço da carteira criptografada copiada do destinatário de uma transferência por um controlado pelos invasores. Também distribuído pelo site malicioso estava o Aurora, um ladrão de Windows escrito na linguagem Golang.
“A coisa notável sobre esta compilação [Aurora] em particular é seu tamanho: mais de 300 MB”, escrevem os pesquisadores. “Esta é provavelmente uma tática para superar a detecção por mecanismos antivírus, já que a maioria dos dados é apenas uma ‘sobreposição’ preenchida com zero bytes. Ao mesmo tempo, a carga real é criptografada e descompactada durante a execução do aplicativo.”
O uso de tantos trojans diferentes pode indicar que a página de autorização Wi-Fi maliciosa é usada por vários criminosos que a obtêm por meio de um serviço de distribuição terceirizado, acreditam os pesquisadores. A combinação de desenvolvimento e distribuição de malware e várias táticas para usá-lo é uma indicação da crescente sofisticação das ameaças cibernéticas.
Número maior de vítimas
Além disso, ao visar várias plataformas, os grupos podem atingir um número maior de vítimas e roubar mais informações, que podem ser usadas em campanhas futuras.
Zombinder é o mais recente lembrete dos perigos de aplicativos de terceiros e sites de download de APK, Chris Hauk, defensor da privacidade do consumidor na Pixel Privacy.
“Malware como serviço é um problema crescente, permitindo que qualquer malfeitor cause estragos com pouca ou nenhuma habilidade de programação”, disse Hauk. “É por isso que os usuários nunca devem instalar aplicativos de fora da Google Play Store.