Valse antiviruswebsites leveren malware op Android- en Windows-apparaten

Er is waargenomen dat bedreigingsactoren gebruik maken van nepwebsites die zich voordoen als legitieme antivirusoplossingen van Avast, Bitdefender en Malwarebytes om malware te verspreiden die gevoelige informatie van Android- en Windows-apparaten kan stelen.

“Het hosten van kwaadaardige software via sites die er legitiem uitzien, is roofzuchtig voor de algemene consument, vooral voor degenen die hun apparaten willen beschermen tegen cyberaanvallen”, zegt Trellix-beveiligingsonderzoeker Gurumoorthi Ramanathan.

De lijst met websites vindt u hieronder –

  • avast-securedownload(.)com, dat wordt gebruikt om de SpyNote-trojan af te leveren in de vorm van een Android-pakketbestand (“Avast.apk”) dat, eenmaal geïnstalleerd, om opdringerige toestemming vraagt ​​om sms-berichten en oproeplogboeken te lezen, te installeren en apps verwijderen, screenshot maken, locatie volgen en zelfs cryptocurrency minen
  • bitdefender-app(.)com, dat wordt gebruikt om een ​​ZIP-archiefbestand te leveren (“setup-win-x86-x64.exe.zip”) dat de Lumma-malware voor het stelen van informatie implementeert
  • malwarebytes(.)pro, dat wordt gebruikt om een ​​RAR-archiefbestand (“MBSetup.rar”) te leveren dat de StealC-malware voor het stelen van informatie inzet

Het cyberbeveiligingsbedrijf zei dat het ook een frauduleus Trellix-binair bestand met de naam “AMCoreDat.exe” heeft ontdekt dat dient als kanaal om stealer-malware te droppen die in staat is slachtofferinformatie, inclusief browsergegevens, te verzamelen en deze naar een externe server te exfiltreren.

Het is momenteel niet duidelijk hoe deze nepwebsites worden verspreid, maar soortgelijke campagnes in het verleden hebben gebruik gemaakt van technieken zoals malvertising en zoekmachineoptimalisatie (SEO).

Stealer-malware is steeds vaker een veel voorkomende bedreiging geworden, waarbij cybercriminelen reclame maken voor talloze aangepaste varianten met verschillende niveaus van complexiteit. Dit omvat nieuwe stealers zoals Acrid, SamsStealer, ScarletStealer en Waltuhium Grabber, evenals updates voor bestaande zoals SYS01stealer (ook bekend als Album Stealer of S1deload Stealer).

Valse antiviruswebsites

“Het feit dat er zo nu en dan nieuwe stelers verschijnen, gecombineerd met het feit dat hun functionaliteit en verfijning sterk variëren, geeft aan dat er een criminele marktvraag naar stelers bestaat”, aldus Kaspersky in een recent rapport.

De ontwikkeling komt nadat onderzoekers een nieuwe Android-banktrojan hebben ontdekt, Antidot genaamd, die zichzelf vermomt als een Google Play-update om informatiediefstal te vergemakkelijken door misbruik te maken van de toegankelijkheid van Android en de MediaProjection-API's.

“Wat functionaliteit betreft is Antidot in staat tot keylogging, overlay-aanvallen, sms-exfiltratie, schermopnamen, diefstal van inloggegevens, apparaatcontrole en uitvoering van opdrachten ontvangen van de aanvallers”, zei Symantec, eigendom van Broadcom, in een bulletin.

Thijs Van der Does