Los investigadores han descubierto un programa que vincula malware a las aplicaciones legítimas de Android.
Según lo informado por El registro (se abre en una pestaña nueva)los analistas de la firma de seguridad cibernética ThreatFabric se enteraron del servicio «Zombinder» mientras investigaban otra campaña de propagación de malware utilizando el troyano bancario ERMAC, malware que TechRadar Pro tiene previamente reportado en.
en su reporte (se abre en una pestaña nueva)dijeron los investigadores «mientras investigaban la actividad de ERMAC, nuestros investigadores detectaron una campaña interesante que se hacía pasar por aplicaciones para la autorización de Wi-Fi. Se distribuyó a través de un sitio web falso de una página que contenía solo dos botones».
ERMAC y cuentagotas
Estos botones actuaron como enlaces de descarga para las versiones de Android de las aplicaciones «ficticias» desarrolladas por ERMAC, que son inútiles para el usuario final pero están diseñadas para registrar las pulsaciones de teclas, así como para robar Autenticación de dos factores (2FA) códigos, Email credenciales y billetera bitcoin frases semilla, entre otras cosas.
Sin embargo, aunque algunas de las aplicaciones maliciosas disponibles en la plataforma probablemente sean responsabilidad del desarrollador principal de ERMAC, DukeEugene, el equipo también descubrió que algunas de las aplicaciones estaban disfrazadas como instancias legítimas de la aplicación de Instagram, así como otras aplicaciones que tienen listados en la tienda de Google Play.
Como suele ocurrir con las campañas de malware, una “cuentagotas” obtenido de la dark web está siendo utilizado por los actores de amenazas para que sus aplicaciones puedan evadir la detección, en este caso, Zombinder. Los droppers instalan lo que es funcionalmente una versión limpia de la aplicación, pero luego presentan a los usuarios una actualización que luego contiene el malware.
Este es un sistema de entrega inteligente, particularmente con aplicaciones que pretenden ser de proveedores comunes y «confiables» como Meta, ya que es más probable que los usuarios instalen una actualización de los desarrolladores de aplicaciones que reconocen.
Este servicio cuentagotas en particular se anunció en marzo de 2022 y, según ThreatFabric, ya se ha vuelto popular entre varios actores de amenazas.
Los ataques de «cuentagotas» son posibles en gran medida debido a la naturaleza «abierta» de Android, que permite a los usuarios «descargar» aplicaciones obtenidas de repositorios que no sean Google Play Store, e incluso de los propios desarrolladores de aplicaciones.
Si bien este ecosistema abierto beneficia a los usuarios conscientes de la seguridad, los usuarios que lo ven simplemente como un medio para piratear aplicaciones que generalmente cuestan dinero, por ejemplo, pueden convertirse en presas fáciles para los atacantes armados con troyanos bancarios, que luego son libres de robar datos, credenciales y incluso dinero de usuarios inocentes.