Специалисты компании Resecurity рассказали о новом маркетплейсе InTheBox, который ориентирован на операторов мобильных вредоносов. Площадка работает в даркнете с начала 2020 года и предлагает покупателям более 400 кастомных веб-инжектов, сгруппированных по географическому признаку.
«Такая автоматизация позволяет злоумышленникам создавать заказы на получение актуальных веб-инжектов для дальнейшего внедрения в мобильные вредоносные программы. InTheBox можно назвать крупнейшим и, вероятно, единственным в своей категории маркетплейсом, который предоставляет качественные веб-инжекты для популярных типов мобильных вредоносных программ», — пишут исследователи.
В данном случае веб-инжекты представляю собой пакеты, используемые финансово ориентированными вредоносами для атак типа adversary-in-the-browser (AitB, «противник-в-браузере»). То есть предоставляют вредоносный HTML или JavaScript для оверлеев, которые применяются в том случае, когда жертва работает с банкингом, криптовалютой, платежами, e-commerce, электронной почтой или приложениями социальных сетей.
Такие оверлеи выглядят как легитимные веб-страницы для входа и предлагают пользователям ввести конфиденциальные данные: учетные данные, данные платежной карты, номер социального страхования, CVV-код карты и так далее. В итоге все эта информация попадает в руки злоумышленников и используется для компрометации банковского счета цели или другого мошенничества.
На InTheBox продаются различные шаблоны веб-инжектов, при этом получить доступ к маркетплейсу можно только после проверки нового пользователя администрацией и активации учетной записи.
Стоимость доступа к InTheBox начинается от 100 долларов в месяц. Также можно оплатить безлимитный уровень подписки, который позволит создавать неограниченное количество инжектов, пока подписка активна. Стоимость безлимитного «тарифа» варьируется от 2475 до 5888 долларов (в зависимости от поддерживаемой малвари).
К примеру, веб-инжеты InTheBox поддерживают такие банкеры для Android, как Alien, Cerberus, ERMAC (и его преемник MetaDroid ), Hydra и Octo.
«Большинство популярных инжектов связаны с платежными сервисами, включая цифровой банкинг и обмен криптовалют, — рассказывают исследователи. — В ноябре 2022 года злоумышленники провели заметное обновление почти 144 инжектов, улучшив их визуальный стиль».