Android-applikationer förgiftas av denna fruktansvärda skadliga programvara

Forskare har upptäckt ett program som länkar skadlig programvara till legitima Android-appar.

Som rapporterats av The Register (öppnas i en ny flik) upptäckte analytiker på cybersäkerhetsföretaget ThreatFabric tjänsten "Zombinder" medan de undersökte en annan spridningskampanj för skadlig programvara med hjälp av ERMAC-banktrojanen, en skadlig programvara på den som TechRadar Pro tidigare rapporterat.

I sin rapport (öppnas i en ny flik) sa forskarna att "medan de undersökte ERMAC-aktivitet upptäckte våra forskare en intressant kampanj som utgav sig som begäranden om Wi-Fi-tillstånd. Den distribuerades via en falsk ensidig webbplats som bara innehöll två knappar."

ERMAC och dropper

Dessa knappar fungerade som nedladdningslänkar för Android-versioner av "dummy"-appar utvecklade av ERMAC, som är värdelösa för slutanvändaren men är designade för att logga tangenttryckningar samt stjäla tvåfaktorsautentisering (2FA).) bitcoin-plånbokskoder, e-post-ID och fröfraser, bland annat.

Men även om några av de skadliga apparna som finns tillgängliga på plattformen troligen är ansvariga för ERMAC:s huvudutvecklare DukeEugene, upptäckte teamet också att några av apparna var förklädda till legitima instanser av Instagram-appen, såväl som andra appar som har listor i Google Play-butiken.

Som ofta är fallet med malware-kampanjer använder hotaktörer en "dropper" som erhålls från den mörka webben så att deras applikationer kan undvika upptäckt, i det här fallet Zombinder. Droppers installerar vad som funktionellt är en ren version av appen, men presenterar sedan användarna med en uppdatering som sedan innehåller skadlig programvara.

Det här är ett smart leveranssystem, särskilt med appar som påstår sig vara från vanliga, "pålitliga" leverantörer som Meta, eftersom användare är mer benägna att installera en uppdatering från apputvecklare än de erkänner.

Just denna droppartjänst tillkännagavs i mars 2022, och enligt ThreatFabric har den redan blivit populär bland olika hotaktörer.

Dropper-attacker är möjliga till stor del på grund av Androids "öppna" natur, vilket tillåter användare att "ladda upp" appar som erhållits från andra arkiv än Google Play Butik, och även apputvecklarna själva.

Även om detta öppna ekosystem gynnar säkerhetsmedvetna användare, kan användare som bara ser det som ett sätt att hacka appar som normalt kostar pengar, till exempel, bli enkla val för trojanska bankangripare, som sedan är fria att stjäla data. , referenser och till och med pengar från oskyldiga användare.

Dela detta