Estas Apps zombi también se han utilizado para distribuir troyanos bancarios a clientes en España, Portugal y Canadá
Los investigadores han arrojado luz sobre una nueva campaña de malware híbrido dirigida a los sistemas operativos Android y Windows en un intento por expandir su grupo de víctimas.
Los ataques implican el uso de diferentes programas maliciosos como ERMAC, Erbium, Aurora y Laplas, según un informe de ThreatFabric.
"Esta campaña resultó en miles de víctimas", dijo la compañía holandesa de ciberseguridad, y agregó: "El ladrón Erbium extrajo con éxito datos de más de 1300 víctimas".
Las infecciones de ERMAC comienzan con un sitio web fraudulento que afirma ofrecer un software de autorización de Wi-Fi para Android y Windows que, cuando se instala, viene con funciones para robar frases iniciales de billeteras criptográficas y otros datos confidenciales.
ThreatFabric dijo que también encontró una serie de aplicaciones maliciosas que eran versiones troyanizadas de aplicaciones legítimas como Instagram, y los operadores las usaban como goteros (droppers) para entregar la carga maliciosa ofuscada.
Se dice que las aplicaciones maliciosas, denominadas Zombinder, se desarrollaron utilizando un servicio de vinculación de APK anunciado en la web oscura por un conocido actor de amenazas desde marzo de 2022.
Estas aplicaciones zombi también se han utilizado para distribuir troyanos bancarios de Android como SOVA y Xenomorph dirigidos a clientes en España, Portugal y Canadá, entre otros.
Curiosamente, la opción de descarga para Windows en el sitio web trampa explosiva que distribuye ERMAC está diseñada para implementar los ladrones de información Erbium y Aurora en el sistema comprometido.
Erbium, que es un malware como servicio (MaaS) con licencia por $ 1.000 por año, no solo roba contraseñas e información de tarjetas de crédito, sino que también se ha observado que actúa como un conducto para dejar caer el clipper Laplas que se usa para secuestrar transacciones criptográficas.
"La presencia de una variedad tan amplia de troyanos también podría indicar que la página de inicio maliciosa es utilizada por múltiples actores y se les proporciona como parte de un servicio de distribución de terceros", teorizaron los investigadores.
