Gli aggressori stanno lanciando campagne dannose per distribuire più famiglie di malware su piattaforme Windows e Android. Per farlo utilizzano una piattaforma darknet soprannominata Zombinder che associa payload dannosi ad app Android legittime.

Minaccia Zombinder: tutti i dettagli

I ricercatori di ThreatFabric hanno scoperto che Zombinder viene utilizzato come servizio utile per fondere app apparentemente legittime con malware diversi e lanciare campagne malevole. Inizialmente, Zombinder è stato lanciato come packer di malware sui file APK a marzo.

Zombinder utilizza versioni modificate di Instagram, WiFi Auto Authenticator, Football Live Streaming, VidMate e popolari app bancarie sulle quali incorpora del codice dannoso. Gli attori delle minacce affermano che questi bundle di app dannosi non sono rilevabili in fase di esecuzione.

Queste app possono presumibilmente ignorare gli avvisi di Google Protect o le soluzioni antivirus in esecuzione sui dispositivi di destinazione.

Payload diversi per piattaforme diverse

Gli aggressori utilizzano le stesse pagine di destinazione per distribuire un’ampia varietà di malware per Windows e Android. Ciò indica che una singola terza parte serve più attori delle minacce come servizio di distribuzione del malware.

Sono stati individuati diversi siti Web dannosi. Le pagine riportavano link sotto forma di pulsanti, come “Scarica per Android” o “Scarica per Windows”. Cliccandoci sopra, viene scaricata la versione modificata di un APK dell’app legittima (con la quale si presenta al pubblico ignaro) con codice payload offuscato.

Dopo l’installazione, l’app funziona normalmente e mostra un messaggio che indica che l’app deve essere aggiornata. A questo punto, se la vittima accetta, l’app apparentemente legittima installerà l’aggiornamento o un plugin, che è un malware altamente sofisticato.

Tra le tipologie di payload rilevati, si riscontrano nella ricerca malware Android come Sova trojan, trojan Xenomorph ed Ermac (una nuova variante Ermac.C). Se il visitatore fa clic su “Download per Android”, vengono scaricati malware Windows come Erbium stealer, Laplas clipper e Aurora info-stealer.

La campagna ha provocato migliaia di vittime, che hanno dimostrato l’elemento comune nell’info stealer Erbium che ha esfiltrato con successo i dati di oltre 1.300 vittime.

Come difendersi da Zombinder

È bene ricordare che gli utenti possono proteggersi da Zombinder e altri malware simili evitando i siti di download di app e APK di terze parti, gli sviluppatori affidabili non usano infatti caricare le loro app su siti di questo genere, quindi la maggior parte di esse viene inserita da terze parti, probabilmente senza autorizzazione e con dubbie finalità.

Zombinder sta diventando popolare nella comunità del crimine informatico. Con il suo approccio secondo il quale prende di mira più piattaforme senza sollevare molti sospetti, è probabile che gli attori delle minacce sperimentino altri ceppi di malware e piattaforme diverse sempre con il suo aiuto, in modo da allungarne la vita, estenderne le attività e limitare il rilevamento.

