Onderzoekers van ThreatFabric hebben op het darkweb de dienst Zombinder ontdekt, waarmee cybercriminelen eenvoudig malware aan legitieme (Android en Windows) applicaties kunnen toevoegen. Cybercriminelen kunnen zo eenvoudig malware-campagnes opzetten.

De onderzoekers van de securityleverancier kwamen de dienst op het spoor in een onderzoek naar de Android banking software malware Ermac en desktop malware als Erbium, Aurora stealer en Laplas ‘clipper’.

Toen de onderzoekers dieper in het onderzoek vorderden, stuitten zij daarbij op het bestaan van een malwaredienst op het darkweb met de naam ‘Zombinder’. De dienst stelt cybercriminelen in staat om op een eenvoudige manier deze malware aan legitieme applicaties te verbinden en zo het makkelijk te maken aanvallen uit te voeren zonder bij de slachtoffers argwaan te kweken.

API-verbindingsdienst

Zombinder adverteert zichzelf voor ‘klanten’ als een API-verbindingsdienst. Het biedt hiervoor een universele ‘binder’ waarmee het mogelijk zou zijn malware met iedere legitieme applicatie te verbinden. De dienst richt zich daarbij vooral op Android-applicaties, maar ook voor Windows-applicaties. Hiervoor wordt door de malewaredienst bijvoorbeeld de Ebrium stealer voor inloggegevens, cookies en crypto wallets aan legitieme Windows-applicaties gekoppeld.

De securityleverancier adviseert daarom aanbieders van applicaties continu het mobiele bedreigingslandschap, maar ook voor desktopomgevingen, cybercriminelen en hun campagnes in de gaten te houden.

Tip: Palo Alto Networks brengt Medical IoT Security uit