近期,在调查名为“Ermac”的Android银行木马程序的过程中,ThreatFabric的网络安全研究人员发现了一种获取合法应用程序并将其转变为木马程序的服务。研究人员将这项服务命名为“Zombinder”,因为它将将恶意软件植入程序绑定到合法应用程序,有效地将它们变成僵尸应用程序,这些应用程序看起来大致相同,但存在的目的是用恶意软件感染Android设备。
根据ThreatFabric的说法,一个知名的威胁行为者在暗网上提供这项服务,并在各种黑客和网络犯罪论坛上做广告。Zombinder对Android用户构成了重大威胁,因为它使没有开发Android恶意软件经验的威胁参与者能够轻松获取定制的特洛伊木马应用程序。
ThreatFabric在调查”通过伪造的Wi-Fi授权应用程序传播安卓恶意木马活动“时遇到了这项暗网上的服务。研究人员对这些木马应用程序的分析表明,其中一些是合法的应用程序,被修改为含有混淆的恶意代码,这种混淆可防止下载安装木马的程序代码被Google Play Protect和第三方杀毒软件检测到。
ThreatFabric研究人员随后确定,这些经过修改的应用程序是他们称之为Zombinder的服务的产品。Zombinder于2022年3月首次发布,是一种恶意软件绑定服务,被不同的威胁参与者频繁使用。这些恶意行为者向该服务提交各种合法的应用程序,并依次收到僵尸化版本。这些僵尸应用程序在杀毒软件中看起来与合法应用程序相同,这是因为它们与正常程序有相同的软件包名称,并且Zombinder添加的混淆增加了恶意代码的模糊性。
然而,一旦安装,这些僵尸程序就会提示用户安装假的插件程序,将这些插件程序错误地显示为所需的依赖。实际上,这些伪造的插件应用程序包含滥用Android权限的恶意软件,可从各种金融应用程序中窃取登录凭据。Android用户在下载和安装即使是熟悉的应用程序时也应该仔细检查,因为像Zombinder这样的服务意味着任何经验水平的威胁参与者都可以将合法应用程序变成包含恶意软件的僵尸版本。