Des chercheurs ont découvert un programme qui associe des logiciels malveillants à des applications Android légitimes.
Tel que rapporté par The Register (ouvre dans un nouvel onglet), les analystes de la société de cybersécurité ThreatFabric ont découvert le service "Zombinder" alors qu'ils enquêtaient sur une autre campagne de propagation de logiciels malveillants utilisant le cheval de Troie bancaire ERMAC, un logiciel malveillant sur le comme TechRadar Pro l'a précédemment signalé.
Dans leur rapport (ouvre dans un nouvel onglet), les chercheurs ont déclaré que "lors de l'enquête sur l'activité d'ERMAC, nos chercheurs ont détecté une campagne intéressante se faisant passer pour des demandes d'autorisation Wi-Fi. Elle a été diffusée via un faux site Web d'une page qui ne contenait que deux boutons".
ERMAC et compte-gouttes
Ces boutons servaient de liens de téléchargement pour les versions Android des applications "factices" développées par ERMAC, qui sont inutiles pour l'utilisateur final mais sont conçues pour enregistrer les frappes au clavier ainsi que pour voler l'authentification à deux facteurs (2FA).) codes de portefeuille bitcoin, identifiants de messagerie et phrases de départ, entre autres.
Cependant, alors que certaines des applications malveillantes disponibles sur la plate-forme sont probablement sous la responsabilité du développeur principal d'ERMAC DukeEugene, l'équipe a également découvert que certaines des applications étaient déguisées en instances légitimes de l'application Instagram, ainsi que d'autres applications qui ont des listes dans la boutique Google Play.
Comme c'est souvent le cas avec les campagnes de logiciels malveillants, les acteurs de la menace utilisent un "dropper" obtenu à partir du dark web afin que leurs applications puissent échapper à la détection, en l'occurrence Zombinder. Les droppers installent ce qui est fonctionnellement une version propre de l'application, mais présentent ensuite aux utilisateurs une mise à jour qui contient ensuite le malware.
Il s'agit d'un système de livraison intelligent, en particulier avec des applications prétendant provenir de fournisseurs communs et "de confiance" comme Meta, car les utilisateurs sont plus susceptibles d'installer une mise à jour des développeurs d'applications qu'ils ne le reconnaissent.
Ce service de compte-gouttes particulier a été annoncé en mars 2022 et, selon ThreatFabric, il est déjà devenu populaire parmi divers acteurs de la menace.
Les attaques "dropper" sont possibles en grande partie en raison de la nature "ouverte" d'Android, qui permet aux utilisateurs de "télécharger" des applications obtenues à partir de référentiels autres que le Google Play Store, et même les développeurs d'applications eux-mêmes.
Alors que cet écosystème ouvert profite aux utilisateurs soucieux de la sécurité, les utilisateurs qui ne le voient que comme un moyen de pirater des applications qui coûtent normalement de l'argent, par exemple, peuvent devenir des choix faciles pour les attaquants de chevaux de Troie bancaires, qui sont alors libres de voler des données. , des informations d'identification et même de l'argent d'utilisateurs innocents.