雅加达 - ERMAC银行木马被发现渗透到合法的Android应用程序中,以引诱用户安装难以被安全工具(称为防病毒)检测到的恶意软件,通过称为Zombinder的第三方暗网服务提供商。

网络安全公司ThreatFabric的研究人员研究了Zombinder,同时调查了另一种使用ERMAC银行木马的恶意软件传播活动。他们针对Android和Windows用户。

该研究产生了一个活动的证据,该活动分发了桌面恶意软件,包括Erbium,Aurora盗贼和Laplas clippers以及ERMAC。

在调查ERMAC活动时,研究人员发现了一些有趣的活动,这些活动冒充了Wi-Fi身份验证器的足球流媒体服务应用程序。与其绑定的恶意软件包也具有与合法应用程序相同的名称。

它是通过一个只包含两个按钮的虚假单页网站分发的。这些按钮充当ERMAC开发的虚拟应用程序的Android版本的下载链接,该应用程序对最终用户无用,但旨在记录击键,以及窃取双因素身份验证(2FA)代码,电子邮件凭据和比特币钱包。

Zombinder提供的一些恶意应用程序很可能是ERMAC的核心开发人员DukeEugene的责任。研究人员还发现,一些应用程序伪装成合法的Instagram应用程序,以及其他在Google Play商店中列出列表的应用程序。

此外,与恶意软件活动经常出现的情况一样,威胁行为者使用从暗网获得的投放器,以便他们的应用程序可以避免检测,在这种情况下是 Zombinder。

Droppers会安装功能上干净的应用程序版本,但随后为用户提供包含恶意软件的更新。

12 月 14 日星期三推出 TechRadar,它是一个智能交付系统,尤其是声称来自 Meta 等受信任的一般供应商的应用程序,因为用户更有可能安装他们认识的应用程序开发人员的更新。

根据 ThreatFabric 的说法,这项特殊的滴管服务于 2022 年 3 月宣布,并在威胁行为者中流行起来。

发生攻击是因为Android具有开放性,用户可以在其中安装从Google Play商店以外的存储库甚至从应用程序本身的开发人员那里获得的应用程序。


The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)