Zombinder è stato scoperto per la prima volta dai ricercatori di Palo Alto Networks nel luglio 2017 e, da allora, è stato utilizzato per distribuire diversi tipi di malware Android e altre minacce mirate a vari tipi di sistema. La piattaforma è progettata per consentire agli attori delle minacce di creare applicazioni dannose indistinguibili dalle loro controparti legittime. Fondamentalmente, significa che hanno autorizzazioni simili a quelle dell’applicazione originale, ma includono anche un codice aggiuntivo, che le fa apparire come se facessero parte dell’app originale.
Quando gli utenti installano l’app dannosa, la piattaforma Zombinder inserisce il proprio codice nell’applicazione originale. Una volta iniettato, il codice dannoso esegue varie azioni come: download ed esecuzione di altri file dannosi, invio di dati ai server di comando e controllo (C&C), esecuzione di comandi tramite l’emulatore di terminale, avvio di pagine Web o apertura di URL e raccolta di informazioni sul vittima. La rimozione della piattaforma malware Zombinder dal dispositivo dell’utente è essenziale per proteggere i suoi dati e le sue informazioni personali, specialmente sul suo dispositivo mobile Android. Fortunatamente, ci sono alcuni passaggi che si possono eseguire per rilevare e rimuovere il codice dannoso come l’utilizzo di una risorsa anitmalware sul dispositivo.
Il primo e più importante passaggio quando si ha a che fare con qualsiasi malware è assicurarsi che tutti i dispositivi eseguano le patch di sicurezza più recenti. Questo non solo aiuterà a proteggere dalle minacce esistenti, ma può anche impedire a quelle nuove di sfruttare eventuali vulnerabilità nel sistema.
Malware utilizzati
Tra i malware desktop spiccano Erbium Stealer, Laplas Clipper e Aurora Stealer, spesso installati insieme. Il primo è un malware in grado di sottrarre le password, salvate, le informazioni sulle carte di credito, i cookies dei vari browser e i portafogli offline di cryptovalute.
Il secondo, un prodotto piuttosto nuovo nei mercati della darknet, è in grado di sostituire i portafogli di cryptovalute con alcuni controllati dall’attaccante: in questo modo ogni trasferimento di denaro viene effettuato sul portafoglio di quest’ultimo. Infine, Aurora Stealer entra in possesso dei dati mantenuti nei browser, estensioni e applicazioni, comprese quelle per gestire le cryptomonete.
Malware diversi per piattaforme diverse
Gli aggressori utilizzano le stesse pagine di destinazione per distribuire un’ampia varietà di malware per Windows e Android. Ciò indica che una singola terza parte serve più attori delle minacce come servizio di distribuzione del malware. Sono stati individuati diversi siti Web dannosi. Le pagine riportavano link sotto forma di pulsanti, come “Scarica per Android” o “Scarica per Windows”. Cliccandoci sopra, viene scaricata la versione modificata di un APK dell’app legittima (con la quale si presenta al pubblico ignaro) con codice payload offuscato.
Dopo l’installazione, l’app funziona normalmente e mostra un messaggio che indica che l’app deve essere aggiornata. A questo punto, se la vittima accetta, l’app apparentemente legittima installerà l’aggiornamento o un plugin, che è un malware altamente sofisticato.
La campagna ha provocato migliaia di vittime, che hanno dimostrato l’elemento comune nell’info stealer Erbium che ha esfiltrato con successo i dati di oltre 1.300 vittime.
Come difendersi
È bene ricordare che gli utenti possono proteggersi da Zombinder e altri malware simili evitando i siti di download di app e APK di terze parti, gli sviluppatori affidabili non usano infatti caricare le loro app su siti di questo genere, quindi la maggior parte di esse viene inserita da terze parti, probabilmente senza autorizzazione e con dubbie finalità.
Zombinder sta diventando popolare nella comunità del crimine informatico. Con il suo approccio secondo il quale prende di mira più piattaforme senza sollevare molti sospetti, è probabile che gli attori delle minacce sperimentino altri ceppi di malware e piattaforme diverse sempre con il suo aiuto, in modo da allungarne la vita, estenderne le attività e limitare il rilevamento.
