ジャカルタ-ERMACバンキング型トロイの木馬は、正規のAndroidアプリケーションに侵入して、Zombinderと呼ばれるサードパーティのダークウェブサービスプロバイダーを介して、セキュリティツール、別名アンチウイルスでは検出が困難なマルウェアをインストールするようにユーザーを誘惑したことが判明しました。
サイバーセキュリティ会社ThreatFabricの研究者は、ERMACバンキング型トロイの木馬を使用した別のマルウェア拡散キャンペーンを調査しながら、Zombinderを調査しました。彼らは、アンドロイドとウィンドウズユーザーをターゲットにしています。
この調査では、ERMACとともに、Erbium、Aurora泥棒、Laplasクリッパーなどのデスクトップマルウェアを配布するキャンペーンの証拠が得られました。
ERMACの活動を調査している間、研究者はWi-Fi認証システムへのサッカーストリーミングサービスのアプリを装った興味深いキャンペーンを発見しました。それに関連付けられたマルウェアパッケージも、正当なアプリケーションと同じ名前を持っています。
これは、2つのボタンのみを含む偽の1ページのWebサイトを通じて配布されました。これらのボタンは、ERMACが開発したダミーアプリのAndroidバージョンのダウンロードリンクとして機能し、エンドユーザーには役に立ちませんが、キーストロークをログに記録したり、2要素認証(2FA)コード、電子メールクレデンシャル、ビットコインウォレットを盗んだりするように設計されています。
Zombinderから入手できる悪意のあるアプリのいくつかは、ERMACのコア開発者であるDukeEugeneの責任である可能性が最も高いです。研究者はまた、合法的なInstagramアプリを装ったいくつかのアプリや、Google Playストアにリストがある他のアプリを発見しました。
さらに、マルウェアキャンペーンでよくあることですが、ダークウェブから取得したドロッパーは脅威アクターによって使用され、アプリケーションが検出を回避できるようにします(この場合はZombinder)。
Droppersは、機能的にはクリーンバージョンのアプリをインストールしますが、マルウェアを含むアップデートをユーザーに提供します。
12月14日水曜日にTechRadarをリリースするこのシステムは、ユーザーが知っているアプリ開発者からのアップデートをインストールする可能性が高いため、特にMetaなどの信頼できる一般ベンダーからのものであると主張するアプリで、インテリジェントな配信システムです。
ThreatFabricによると、この特定のドロッパーサービスは2022年3月に発表され、脅威アクターの間で人気を博しました。
この攻撃は、Androidがオープンな性質を持っているために発生し、ユーザーはGoogle Playストア以外のリポジトリから、さらにはアプリケーションの開発者自身から取得したアプリケーションをインストールできます。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
