InTheBox adlı bir tehdit aktörü, Rus siber suç forumlarında bankacılık, kripto para borsası ve e-ticaret uygulamalarından kimlik bilgilerini ve hassas verileri çalmak için 1.894 web enjeksiyonu envanterini (kimlik avı pencerelerinin yer paylaşımları) tanıtıyor.
Yer paylaşımları, neredeyse tüm kıtalarda düzinelerce ülkede kullanılan büyük kuruluşlar tarafından işletilen çeşitli Android bankacılık kötü amaçlı yazılımları ve taklit uygulamalarıyla uyumludur.
Bu kadar çok sayıda ve düşük fiyatlarda olmak, siber suçluların kampanyalarının diğer bölümlerine, kötü amaçlı yazılımı geliştirmeye ve saldırılarını diğer bölgelere genişletmelerine olanak tanır.
Tipik olarak, mobil bankacılık truva atları, virüslü bir cihazda hangi uygulamaların bulunduğunu kontrol eder ve ilgili uygulamalara karşılık gelen web’in enjekte ettiği komut ve kontrol sunucusundan çeker.
Kurban bir hedef uygulamayı başlattığında, kötü amaçlı yazılım meşru ürünün arayüzünü taklit eden kaplamayı otomatik olarak yükler.
Cyble tehdit istihbaratı şirketindeki araştırmacıların InTheBox’ta yüzlerce uygulama için güncel enjeksiyonlar sağladığını keşfetti.
.png)
Cyble’ın analizine göre, Ocak 2023 itibariyle InTheBox, Ekim 2022’de güncellenen aşağıdaki web enjeksiyon paketlerini listeler:
- Alien, Ermac, Octopus ve MetaDroid ile uyumlu 814 web enjeksiyonu 6.512 $
- 3.960$ karşılığında Cerberus ile uyumlu 495 web enjeksiyonu
- Hydra ile uyumlu 585 web enjeksiyonu 4.680$
Paketlerin tamamını satın almak istemeyenler için InTheBox ayrıca web enjeksiyonlarını her biri 30 ABD Doları karşılığında ayrı ayrı satmaktadır. Mağaza ayrıca, kullanıcıların herhangi bir kötü amaçlı yazılım için özel enjeksiyonlar sipariş etmesine olanak tanır.
InTheBox’ın web enjeksiyon paketleri, uygulama simgesi PNG’lerini ve kurbanın kimlik bilgilerini ve diğer hassas verileri toplayan JavaScript kodlu bir HTML dosyasını içerir.
.png)
Çoğu durumda enjeksiyonlar, kullanıcıdan kredi kartı numaralarını, son kullanma tarihlerini ve CVV numaralarını girmesini isteyen ikinci bir yer paylaşımına sahiptir.
Cyble, InTheBox’ın enjeksiyonlarının, Android kötü amaçlı yazılım operatörlerinin geçersiz verileri filtrelemesine yardımcı olan Luhn algoritmasını kullanarak kurbanlar tarafından girilen kredi kartı numaralarının geçerliliğini kontrol edebildiğini söylüyor.
.png)
Son olarak, çalınan veriler dize değerine dönüştürülür ve Android bankacılık truva atı operatörü tarafından kontrol edilen bir sunucuya gönderilir.
InTheBox, Şubat 2020’den beri Android kötü amaçlı yazılımları için web enjeksiyonları satıyor ve sürekli olarak daha fazla bankayı ve finansal uygulamayı hedefleyen yeni sayfalar ekliyor.
Cyble, InTheBox’ın web enjeksiyonlarının sırasıyla 2021 ve Eylül 2022’de ‘Coper’ ve ‘Alien’ Android truva atları tarafından kullanıldığını doğrulayabildi, en son kampanya ise Ocak 2023’te gerçekleşti ve İspanyol bankalarını hedef aldı.