Новости В даркнете продают более 1800 фишинговых оверлеев для Android

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.044
Репутация
11.695
Реакции
61.864
RUB
50
Хакерская группа рекламирует на русскоязычных хак-форумах набор из 1894 веб-инжектов (оверлеев для фишинговых окон) для кражи учетных и конфиденциальных данных из банковских, криптовалютных и e-commerce приложений.


Аналитики компании пишут, что оверлеи группировки совместимы с различными банковскими вредоносами для Android и имитируют самые разные приложения, принадлежащие крупным организация в десятках стран мира.



Как правило, мобильные банкеры проверяют, какие приложения установлены на зараженном устройстве, а затем загружают с управляющего сервера нужные веб-инжекты, соответствующие найденным приложениям. Когда жертва запускает целевое приложение, малварь автоматически загружает поверх него оверлей, имитирующий интерфейс настоящего продукта.

Доступность оверлеев в таком количестве и по низким ценам позволяет киберпреступникам сосредоточиться на других аспектах своих вредоносных кампаний, разработке малвари, а также расширить атаки на другие регионы, предупреждают исследователи.

Согласно анализу Cyble, по состоянию на январь 2023 года InTheBox предлагала следующие наборы оверлеев, обновленные в октябре 2022 года:

  • 814 оверлеев, совместимых с малварью Alien, Ermac, Octopus и MetaDroid, за 6512 долларов;
  • 495 оверлеев, совместимых с Cerberus, за 3960 долларов;
  • 585 оверлеев, совместимых с Hydra, за 4680 долларов.
Для тех, кто не хочет покупать целые «пакеты» веб-инжектов, InTheBox предлагает оверлеи по отдельности, по цене 30 долларов за штуку. К тому же клиенты могут заказать кастомные веб-инжекты для любых вредоносных программ на свой выбор.

Наборы InTheBox включают PNG-иконки приложений и HTML-файлы с кодом JavaScript, который собирает учетные данные жертв и другую конфиденциальную информацию. В большинстве случаев оверлеи имеют второй слой, где пользователя просят ввести номер банковской карты, дату окончания срока ее действия и номер CVV.





Более того, эксперты пишут, что веб-инжекты InTheBox способны проверять действительность номеров карт, введенных жертвами, с помощью алгоритма Luhn, который помогает операторам Android-малвари отфильтровывать некорректные данные. После проверки украденная информация отправляется на сервер, контролируемый операторами банковского трояна для Android.

По данным Cyble, InTheBox продает оверлеи как минимум с февраля 2020 года, постоянно добавляя в свои наборы новые страницы, чтобы охватывать большее число банковских и финансовых приложений.

Аналитики Cyble утверждают, что веб-инжекты InTheBox точно использовались банкерами Coper и Alien в 2021 и 2022 годах, а последняя кампания с их участием, нацеленная на клиентов испанских банков, и вовсе была замечена совсем недавно, в январе 2023 года.

 
Сверху Снизу