Araştırmacılar bağlayıcı olan bir program keşfettiler kötü amaçlı yazılım yasal Android uygulamalarına.
tarafından bildirildiği gibi Kayıt (yeni sekmede açılır)siber güvenlik firması ThreatFabric’in analistleri, ERMAC bankacılık truva atını kullanan başka bir kötü amaçlı yazılım yayma kampanyasını araştırırken “Zombinder” hizmetini öğrendi. TechRadar Pro daha önce sahip bildirildi üzerinde.
onların içinde bildiri (yeni sekmede açılır)araştırmacılar, “ERMAC’ın faaliyetlerini araştırırken, araştırmacılarımız Wi-Fi yetkilendirme uygulamaları kılığına giren ilginç bir kampanya tespit ettiler. Yalnızca iki düğme içeren tek sayfalık sahte bir web sitesi aracılığıyla dağıtıldı.”
ERMAC ve Damlalıklar
Bu düğmeler, ERMAC tarafından geliştirilen, son kullanıcı için yararsız olan ancak tuş vuruşlarını kaydetmek ve çalmak için tasarlanmış “sahte” uygulamaların Android sürümleri için indirme bağlantıları görevi gördü. iki faktörlü kimlik doğrulama (2FA) kodlar, e-posta kimlik bilgileri ve bitcoin cüzdanı diğer şeylerin yanı sıra tohum cümleleri.
Bununla birlikte, platformda bulunan bazı kötü amaçlı uygulamaların sorumluluğu büyük olasılıkla temel ERMAC geliştiricisi DukeEugene’e ait olsa da, ekip ayrıca bazı uygulamaların Instagram uygulamasının yasal örnekleri olarak gizlendiğini ve ayrıca üzerinde liste bulunan diğer uygulamaların olduğunu tespit etti. Google Play Mağazası.
Kötü amaçlı yazılım kampanyalarında sıklıkla olduğu gibi, bir Karanlık ağdan elde edilen “damlalık” tehdit aktörleri tarafından, uygulamalarının tespit edilmekten kaçabilmesi için kullanılıyor, bu durumda Zombinder. Droppers, uygulamanın işlevsel olarak temiz bir sürümünü yükler, ancak daha sonra kullanıcılara kötü amaçlı yazılımı içeren bir güncelleme sunar.
Bu, kullanıcıların tanıdıkları uygulama geliştiricilerinden bir güncelleme yükleme olasılığı daha yüksek olduğundan, özellikle Meta gibi yaygın, “güvenilir” satıcılardan geldiği iddia edilen uygulamalarda olduğu gibi akıllı bir dağıtım sistemidir.
Bu özel damlalık hizmeti Mart 2022’de duyurulmuştu ve ThreatFabric’e göre şimdiden bir dizi tehdit aktörü arasında popüler hale geldi.
“Damlacı” saldırıları, büyük ölçüde, Android’in “açık” doğası nedeniyle, kullanıcıların Google Play Store dışındaki depolardan ve hatta uygulama geliştiricilerin kendilerinden elde edilen uygulamaları “yan yana yüklemesine” izin verdiği için mümkün olmuştur.
Bu açık ekosistem, güvenlik bilincine sahip kullanıcılara fayda sağlarken, örneğin, bunu genellikle paraya mal olan uygulamaları korsan olarak görmenin bir yolu olarak gören kullanıcılar, bankacılık truva atlarıyla donanmış ve daha sonra verileri, kimlik bilgilerini ve bilgileri çalmakta özgür olan tehdit aktörleri için kolay seçim haline gelebilir. masum kullanıcılardan bile para.
