Android-приложения заражаются трояном Ermac, а программы для Windows – вредоносами Erbium, Aurora и Laplas.
В ходе расследования новой вредоносной кампании, направленной на Windows- и Android-устройства, исследователи Threat Fabric обнаружили даркнет-сервис под названием Zombinder, используемый для “модификации” легитимных Android-приложений вредоносной полезной нагрузкой. Приложения на смартфоны заражались банковским троянов Ermac, а для систем на Windows предназначалось три вредоноса – инфостилеры Erbium и Aurora, а также клипер Laplas.
По словам экспертов, в ходе этой кампании были поражены тысячи систем, а конкретно Erbium похитил данные более чем у 1300 жертв.
Эксперты вышли на сервис, исследуя троян Ermac, которым жертвы заражались через приложения-приманки. После установки и запуска эти приложения предлагают пользователю загрузить обновление или плагин, которые на самом деле являются трояном.
Ermac умеет следующее:
-
Считывать нажатия клавиш;
-
Использовать оверлеи;
-
Похищать электронные письма из Gmail;
-
Похищать коды 2FA;
-
Похищать seed-фразы из криптокошельков.
Исследователи говорят, что Zombinder является частью еще более крупного проекта, используемого многими хакерскими группировками для усложнения атак.
