Các nhà nghiên cứu an ninh mạng tại ThreatFabric đã phát hiện ra một mối đe dọa mới có tên là “Zombinder” cho phép tội phạm mạng liên kết phần mềm độc hại với các ứng dụng Android hợp pháp, tàn phá thiết bị Android của bạn.
Zombinder nghe giống như một mối đe dọa sống chết vì một lý do. Đó là dịch vụ của bên thứ ba trên darknet triển khai các thực thể phần mềm độc hại khó chịu như Ermac. Nó lặng lẽ xâm nhập vào các thiết bị Android của mỏ đá, nhưng một khi nó cắn, tất cả sẽ vỡ tung.
Coi chừng Zombinder và vũ khí lựa chọn của nó: Ermac
Vậy chính xác thì Ermac là gì? Đó là một phần mềm độc hại ăn cắp dữ liệu nguy hiểm. Mẫu mà ThreatFabric phát hiện trong quá trình điều tra có thể lấy thông tin nhận dạng cá nhân, lấy email của bạn từ ứng dụng Gmail, theo dõi mã xác thực hai yếu tố của bạn và đánh cắp cụm từ hạt giống của bạn từ nhiều ví tiền điện tử. Rất tiếc!
Các nhà nghiên cứu của ThreatFabric nhận thấy Ermac bị ràng buộc với các ứng dụng Android hợp pháp, bao gồm cả Instagram. Làm thế nào để điều này xảy ra? Như đã đề cập, Zombinder là một dịch vụ darknet và nó giải phóng các tệp APK chứa các ứng dụng Android chính hãng có chứa phần mềm độc hại.
“Sau khi tải xuống ứng dụng bị ràng buộc, [the app] sẽ hoạt động như bình thường”, ThreatFabric cảnh báo. Tuy nhiên, ứng dụng cuối cùng sẽ hiển thị thông báo cho biết rằng nó cần được cập nhật. Khi nạn nhân chấp nhận “bản cập nhật” này, ứng dụng sẽ cài đặt một thứ gì đó nguy hiểm. Không phải vậy thật sự tất nhiên là một bản cập nhật — đó là phần mềm độc hại Ermac đáng sợ.
mối đe dọa vải (Tín dụng hình ảnh: ThreatFabric)
ThreatFabric cũng phát hiện ra Ermac giả dạng ứng dụng ủy quyền Wi-Fi giả, được phân phối qua một trang web lừa đảo chỉ chứa hai liên kết. Sau khi người dùng nhấp vào “Tải xuống cho Android”, họ đã hoàn tất. (Nhấp vào nút “Tải xuống cho Windows” dẫn đến việc nạn nhân tải xuống một loạt trojan Windows, bao gồm cả Ebrium Stealer và Laplas Clipper.)
Ermac không phải là mối nguy hại Android độc hại duy nhất mà ThreatFabric tìm thấy trong quá trình điều tra. Các nhà nghiên cứu đã tìm thấy trojan ngân hàng Xenomorph được dán vào một ứng dụng hợp pháp có tên VidMate, một ứng dụng miễn phí cho phép bạn tải xuống các video trực tuyến. Tội phạm mạng tung ra một trang không xác thực bắt chước trang web thật của VidMate, dụ nạn nhân tải xuống tệp bị nhiễm.
VidMate phân phối Xenomorph (Tín dụng hình ảnh: Threat Downloader)
Và tin tôi đi, bạn không muốn Xenomorph trên thiết bị của mình đâu. Phần mềm độc hại khó chịu này là một trojan ngân hàng Android đánh cắp thông tin đăng nhập của bạn từ các ứng dụng ngân hàng.
Chiến dịch Zombinder bắt đầu trong cộng đồng tội phạm mạng vào tháng 3 năm 2022 và hiện chiến dịch này đang ngày càng trở nên phổ biến đối với các tác nhân đe dọa. Hãy chắc chắn kiểm tra các ứng dụng chống vi-rút di động tốt nhất của chúng tôi để bảo vệ bạn và thiết bị của bạn khỏi tin tặc nguy hiểm.
Ưu đãi chống phần mềm độc hại Malwarebytes tốt nhất hiện nay
(mở trong tab mới)
(mở trong tab mới)