Les attaquants lancent des campagnes malveillantes pour distribuer plusieurs familles de logiciels malveillants sur les plateformes Windows et Android. Ils utilisent une plateforme darknet baptisée Zombinder pour lier des charges utiles malveillantes à des applications Android légitimes.
Zombinder : liant et dropper
Les chercheurs de ThreatFabric ont découvert que Zombinder est utilisé comme service de liaison et comme dropper dans les campagnes récentes. Initialement, Zombinder a été lancé comme packer de logiciels malveillants sur des fichiers APK en mars.
- Zombinder utilise des versions modifiées d’Instagram, de WiFi Auto Authenticator, de Football Live Streaming, de VidMate et d’applications bancaires populaires et les intègre avec du code malveillant.
- Les acteurs de la menace prétendent que ces paquets d’applications malveillantes sont indétectables en cours d’exécution.
- Ces applications peuvent soi-disant contourner les alertes de Google Protect ou les solutions antivirus fonctionnant sur les appareils cibles.
Des charges utiles différentes pour des plateformes différentes
Les attaquants utilisent les mêmes pages de destination pour distribuer une grande variété de logiciels malveillants Windows et Android. Cela indique qu’un seul tiers sert de service de distribution de logiciels malveillants à plusieurs acteurs de la menace.
- Plusieurs sites Web malveillants ont été repérés, avec deux boutons – Télécharger pour Android ou Télécharger pour Windows. En cliquant dessus, ces boutons téléchargent la version modifiée d’une application légitime APK avec un code de charge utile obscurci.
- Après l’installation, l’application fonctionne normalement et affiche un message indiquant que l’application doit être mise à jour.
- À ce stade, si la victime accepte, l’application apparemment légitime installe la mise à jour ou un plugin, qui est un logiciel malveillant très puissant.
Les charges utiles
- Si le visiteur clique sur Télécharger pour Android, des malwares Android tels que le trojan Sova, le trojan Xenomorph et Ermac (une nouvelle variante Ermac. C) sont téléchargés.
- En cliquant sur Télécharger pour Android, des logiciels malveillants Windows tels que Erbium stealer, Laplas clipper et Aurora info-stealer sont téléchargés.
- La campagne a fait des milliers de victimes, Erbium stealer ayant réussi à exfiltrer les données de plus de 1 300 victimes.
Conclusion
Zombinder est de plus en plus populaire dans la communauté cybercriminelle. Grâce à son approche qui permet de cibler plusieurs plateformes sans éveiller de soupçons, les acteurs de la menace sont susceptibles d’expérimenter d’autres souches de logiciels malveillants et différentes plateformes avec son aide.
