Der Darknet-Dienst "Zombinder" erlaubt es, eine Malware an bestehende Android-Apps anzuhängen und Google Play Protect zu überlisten.
Ein Darknet-Dienst mit dem Namen „Zombinder“ lässt Cyberkriminelle bestehende Android-Apps mit einem Malware-Loader ausstatten. Da die Anwendungen ihre reguläre Funktionalität beibehalten, bekommt der Benutzer nichts davon mit, dass gerade eine Schadsoftware im Hintergrund brisante Daten von seinem Smartphone sammelt.
Wi-Fi-Autorisierungsportale verleiten zum Download von Windows- und Android-Apps
Sicherheitsforscher haben eine neue Darknet-Plattform entdeckt, über die Angreifer eine Schadsoftware mit bestehenden und legitimen Android-Apps verknüpfen können. Im Rahmen der untersuchten Kampagne, die bereits Tausende von Opfern gefordert hat, kamen mehrere verschiedene Malware-Familien zum Einsatz.
Dabei arbeiten die Cyberkriminellen mit Webseiten, die sich als Wi-Fi-Autorisierungsportale ausgeben, um ihren Opfern einen vermeintlichen Internetzugang zu verschaffen. Die Portale bieten jeweils angeblich für den Zugang benötigte Windows- und Android-Apps zum Download an. Tatsächlich versteckt sich dahinter jedoch eine Malware.
Zombinder verseucht legitime Android-Apps durch einen Loader
Ein Bestandteil der Kampagne ist ein Darknet-Dienst, den die ThreadFabric-Forscher „Zombinder“ nennen. Er erschien erstmals im März 2022 und erfreut sich unter Cyberkriminellen seitdem wachsender Beliebtheit.
Denn mit Zombinder lässt sich eine Malware an die APK-Dateien legitimer Android-Apps binden. Da die Anwendung ihre ursprüngliche Funktionalität beibehält, bekommt der Anwender selten etwas davon mit, dass schadhafter Code gerade im Hintergrund auf seinem Smartphone mitunter fleißig Daten exfiltriert.
Durch Verschleierung des an die Android-Apps angehängten Malware-Loaders will der Zombinder-Anbieter einen Weg gefunden haben, gängige Virenschutzsoftware sowie Google Play Protect zu überlisten. Sobald der Benutzer eine der manipulierten Anwendungen startet, fordert der Loader ihn dazu auf, ein Plugin zu installieren. Die Erweiterung enthält jedoch schadhaften Code.
Viele bekannte Anwendungen für Datendiebstahl missbraucht
Ein Blick in den Bericht der Forscher zeigt, dass die Angreifer für ihre Masche auch namhafte Android-Apps wie beispielsweise jene von Facebook, Instagram, Twitter, Telegram oder WhatsApp missbrauchen.
Darüber sammeln sie mitunter durch den Einsatz von Keyloggern oder Overlay-Angriffen massenhaft brisante Nutzerdaten. Darunter E-Mails, 2FA-Codes oder Zugangsdaten zu Krypto-Wallets.
Doch auch die Windows-Variante der angebotenen Anwendungen ist nicht minder gefährlich als die Android-Apps.
Laut BleepingComputer beobachteten die Forscher den Einsatz aktiv in Entwicklung befindlicher Malware-Stämme, die von ihren Entwicklern für ein paar Hundert Dollar pro Monat an Cyberkriminelle vermietet werden. Darunter beispielsweise der „Erbium Stealer„, der „Laplas Clipper“ und der „Aurora Info-Stealer„.