Le service Web sombre « Zombinder » permet aux logiciels malveillants d’être attachés aux applications Android existantes et de déjouer Google Play Protect.
Un service Web sombre appelé « zombi” permet aux cybercriminels d’équiper les applications Android existantes d’un chargeur de logiciels malveillants. Étant donné que les applications conservent leur fonctionnalité habituelle, l’utilisateur ne sait pas qu’un logiciel malveillant collecte des données sensibles à partir de son smartphone en arrière-plan.
Les portails d’autorisation Wi-Fi permettent de télécharger des applications Windows et Android
Les chercheurs en sécurité ont découvert une nouvelle plate-forme Web sombre que les attaquants peuvent utiliser pour lier des logiciels malveillants à des applications Android existantes et légitimes. Plusieurs familles de logiciels malveillants différentes ont été utilisées dans le cadre de la campagne enquêtée, qui a déjà fait des milliers de victimes.
Les cybercriminels travaillent avec des sites Web se faisant passer pour des portails d’autorisation Wi-Fi pour fournir à leurs victimes un accès supposé à Internet. Les portails offriraient chacun les applications Windows et Android nécessaires à l’accès à télécharger. En fait, cependant, des logiciels malveillants se cachent derrière.
Zombiner infecte des applications Android légitimes via un chargeur
Une partie de la campagne est un service Web sombre que les chercheurs de ThreadFabric « zombi » nommer. Il est apparu pour la première fois en mars 2022 et a depuis gagné en popularité parmi les cybercriminels.
Parce qu’avec Zombiner, un malware peut être lié aux fichiers APK d’applications Android légitimes. L’application conservant ses fonctionnalités d’origine, l’utilisateur remarque rarement qu’un code malveillant exfiltre parfois assidûment des données en arrière-plan sur son smartphone.
En obscurcissant le chargeur de logiciels malveillants attaché aux applications Android, le fournisseur Zombin prétend avoir trouvé un moyen de déjouer les logiciels antivirus populaires et Google Play Protect. Dès que l’utilisateur démarre une des applications manipulées, le loader lui propose d’installer un plugin. Cependant, celui-ci contient un code défectueux.
De nombreuses applications bien connues sont utilisées à mauvais escient pour le vol de données
Un regard sur le rapport des chercheurs montre que les attaquants abusent également des applications Android bien connues telles que celles de Facebook, Instagram, Twitter, Telegram ou WhatsApp pour leur arnaque.
De plus, ils collectent parfois des quantités massives de données utilisateur explosives grâce à l’utilisation d’enregistreurs de frappe ou d’attaques par superposition. Il s’agit notamment des e-mails, des codes 2FA ou des données d’accès pour les portefeuilles cryptographiques.
Mais la version Windows des applications proposées n’est pas moins dangereuse que les applications Android.
Selon BleepingComputer, les chercheurs ont observé l’utilisation de souches de logiciels malveillants en développement actif qui sont louées par leurs développeurs à des cybercriminels pour quelques centaines de dollars par mois. Parmi eux, par exemple, le « Voleur d’erbium« , la « Tondeuse de Lapla » et le « Voleur d’informations Aurora“.