นักวิจัยได้ค้นพบโปรแกรมที่เชื่อมโยงมัลแวร์กับแอพ Android ที่ถูกต้อง
ตามที่รายงานโดย The Register (เปิดในแท็บใหม่) นักวิเคราะห์ของบริษัทรักษาความปลอดภัยทางไซเบอร์ ThreatFabric ค้นพบบริการ "Zombinder" ในขณะที่ตรวจสอบแคมเปญการแพร่กระจายมัลแวร์อื่นโดยใช้โทรจันธนาคาร ERMAC ซึ่งเป็นมัลแวร์ชิ้นหนึ่งที่ LaComparacion Pro รายงานก่อนหน้านี้
ในรายงานของพวกเขา (เปิดในแท็บใหม่) นักวิจัยกล่าวว่า "ในขณะที่ตรวจสอบกิจกรรมของ ERMAC นักวิจัยของเราตรวจพบแคมเปญที่น่าสนใจที่อ้างว่าเป็นคำขออนุญาต Wi-Fi มันถูกเผยแพร่ผ่านเว็บไซต์ปลอมของหน้าเว็บที่มีเพียงสองหน้าเท่านั้น ปุ่ม
ERMAC และหลอดหยด
ปุ่มเหล่านี้ทำหน้าที่เป็นลิงก์ดาวน์โหลดสำหรับแอป "จำลอง" เวอร์ชัน Android ที่พัฒนาโดย ERMAC ซึ่งไม่มีประโยชน์สำหรับผู้ใช้ปลายทาง แต่ได้รับการออกแบบมาเพื่อบันทึกการกดแป้นพิมพ์รวมถึงขโมยการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA)) รหัสกระเป๋าเงิน bitcoin รหัสอีเมล และวลีเมล็ด และอื่น ๆ
อย่างไรก็ตาม ในขณะที่แอพอันตรายบางตัวที่มีบนแพลตฟอร์มนั้นน่าจะเป็นความรับผิดชอบของ DukeEugene หัวหน้าผู้พัฒนา ERMAC ทีมงานยังพบว่าแอพบางแอพนั้นปลอมแปลงเป็นอินสแตนซ์ที่ถูกต้องของแอพ Instagram เช่นเดียวกับแอพอื่นๆ ที่มีรายชื่ออยู่ใน Google Play สโตร์
เช่นเดียวกับที่เกิดขึ้นกับแคมเปญมัลแวร์ ผู้คุกคามใช้ "หยด" ที่ได้รับจากเว็บมืดเพื่อให้แอปพลิเคชันของตนสามารถหลบเลี่ยงการตรวจจับได้ ในกรณีนี้คือ Zombinder Droppers จะติดตั้งแอปเวอร์ชันที่สะอาดและใช้งานได้ดี แต่จากนั้นจะนำเสนอการอัปเดตที่มีมัลแวร์แก่ผู้ใช้
นี่คือระบบการจัดส่งอัจฉริยะ โดยเฉพาะอย่างยิ่งกับแอปที่อ้างว่ามาจากผู้ขายทั่วไปที่ "เชื่อถือได้" เช่น Meta เนื่องจากผู้ใช้มีแนวโน้มที่จะติดตั้งการอัปเดตจากนักพัฒนาแอปมากกว่าที่พวกเขารู้จัก
บริการ Dropper นี้ได้รับการประกาศในเดือนมีนาคม 2022 และจากข้อมูลของ ThreatFabric ได้กลายเป็นที่นิยมในหมู่ผู้คุกคามต่างๆ
การโจมตีแบบ Dropper ส่วนใหญ่เป็นไปได้เนื่องจากลักษณะ "เปิด" ของ Android ซึ่งช่วยให้ผู้ใช้สามารถ "อัปโหลด" แอปที่ได้รับจากแหล่งเก็บข้อมูลอื่นที่ไม่ใช่ Google Play Store และแม้แต่ผู้พัฒนาแอปเอง
ในขณะที่ระบบนิเวศแบบเปิดนี้ให้ประโยชน์แก่ผู้ใช้ที่ใส่ใจในความปลอดภัย ผู้ใช้ที่เห็นว่าเป็นเพียงวิธีการแฮ็กแอปที่ปกติต้องเสียเงิน เช่น อาจกลายเป็นตัวเลือกที่ง่ายสำหรับผู้โจมตีโทรจันในธนาคาร ซึ่งขณะนั้นเป็นอิสระในการขโมยข้อมูล ข้อมูลรับรองและแม้แต่เงินจากผู้ใช้ที่บริสุทธิ์