Вредоносные пакеты для банковских троянов позволяют автоматизировать атаку и усовершенствовать свои навыки.
Магазин InTheBox продвигает на российских киберпреступных форумах веб-инжекты для кражи учетных данных и конфиденциальной информации из банковских приложений, криптокошельков и приложений электронной коммерции.
Веб-инжекты совместимы с различными банковскими троянами для Android и имитируют популярные приложения крупных организаций, используемые практически на всех континентах. Как правило, мобильные банковские трояны проверяют, какие приложения присутствуют на зараженном устройстве, и извлекают из C2-сервера веб-инжекты, соответствующие определённым приложениям. Когда жертва запускает целевое приложение, вредоносное ПО автоматически загружает оверлей, имитирующий интерфейс легитимного продукта.
https://www.securitylab.ru/upload/me...t60k4pn0qv.png
Магазин InTheBox
Согласно анализу Cyble, по состоянию на январь 2023 года InTheBox продаёт следующие пакеты веб-инжектов:<ul><li>814 веб- инжектов, совместимых с Alien , ERMAC , Octopus и MetaDroid за $6512;</li>
</ul><ul><li>495 веб- инжектов, совместимых с Cerberus , за $3960;</li>
</ul><ul><li>585 веб-инжектов, совместимых с Hydra, за $4680.</li>
</ul>Для тех, кто не хочет покупать целые пакеты, InTheBox также продает веб-инжекты по отдельности по $30 за штуку. Магазин также позволяет пользователям заказывать веб-инжекты индивидуально для любых вредоносных программ.
Пакеты веб-инжектов InTheBox включают PNG-значки приложений и HTML-файл с кодом JavaScript, который собирает учетные данные жертвы и другие конфиденциальные данные. В большинстве случаев инжекты имеют второй оверлей, который просит пользователя ввести номер кредитной карты, дату истечения срока действия и номер CVV. Cyble утверждает, что инжекты InTheBox проверяют действительность номеров кредитных карт с помощью алгоритма Луна (Luhn algorithm), который отфильтровывает неверные данные. Затем украденные данные преобразуются в строку и отправляются на сервер, контролируемый злоумышленником.
https://www.securitylab.ru/upload/me...0f9pvcuj6t.png
Код шаблона наложения (слева) и скрипт для проверки номера карты (справа)
InTheBox продает веб-инжекты для Android с февраля 2020 года, постоянно добавляя новые страницы, нацеленные на большее количество банков и финансовых приложений. Эксперты Cyble подтвердили, что веб-инжекты InTheBox использовались троянами « Coper » и « Alien » в 2021 и 2022 году соответственно. Доступность веб-инжектов в таком количестве и по низким ценам позволяет киберпреступникам сосредоточиться на других частях своих кампаний, разработке вредоносного ПО и расширении своей атаки на другие регионы.
Эксперты Resecurity, которые впервые обнаружили этот даркнет-рынок, назвали InTheBox крупнейшим и наиболее значимым источником банковских краж и мошенничества с использованием мобильных устройств. Большинство мобильных вредоносных программ, поддерживаемых InTheBox, ориентированы на Android устройства.