Android-приложения заражаются трояном Ermac, а программы для Windows – вредоносами Erbium, Aurora и Laplas.

В ходе расследования новой вредоносной кампании, направленной на Windows- и Android-устройства, исследователи Threat Fabric обнаружили даркнет-сервис под названием Zombinder, используемый для “модификации” легитимных Android-приложений вредоносной полезной нагрузкой. Приложения на смартфоны заражались банковским троянов Ermac, а для систем на Windows предназначалось три вредоноса – инфостилеры Erbium и Aurora, а также клипер Laplas.

По словам экспертов, в ходе этой кампании были поражены тысячи систем, а конкретно Erbium похитил данные более чем у 1300 жертв.

Эксперты вышли на сервис, исследуя троян Ermac, которым жертвы заражались через приложения-приманки. После установки и запуска эти приложения предлагают пользователю загрузить обновление или плагин, которые на самом деле являются трояном.

Ermac умеет следующее:

  • Считывать нажатия клавиш;

  • Использовать оверлеи;

  • Похищать электронные письма из Gmail;

  • Похищать коды 2FA;

  • Похищать seed-фразы из криптокошельков.

Считывать нажатия клавиш;

Использовать оверлеи;

Похищать электронные письма из Gmail;

Похищать коды 2FA;

Похищать seed-фразы из криптокошельков.

Исследователи говорят, что Zombinder является частью еще более крупного проекта, используемого многими хакерскими группировками для усложнения атак.

Источник: securitylab