Más de 1.800 formularios de phishing de Android a la venta

Iniciado por AXCESS, Febrero 02, 2023, 12:38:59 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un actor de amenazas llamado InTheBox está promocionando en los foros rusos sobre delitos cibernéticos un inventario de 1894 inyecciones web (superposiciones de ventanas de phishing) para robar credenciales y datos confidenciales de aplicaciones bancarias, de intercambio de criptomonedas y de comercio electrónico.

Las superposiciones son compatibles con varios programas maliciosos bancarios de Android e imitan aplicaciones operadas por las principales organizaciones que se utilizan en docenas de países en casi todos los continentes.

Estar disponible en tales cantidades y a precios bajos permite a los ciberdelincuentes concentrarse en otras partes de sus campañas, el desarrollo del malware y ampliar su ataque a otras regiones.

Por lo general, los troyanos bancarios móviles verifican qué aplicaciones están presentes en un dispositivo infectado y extraen del servidor de comando y control las inyecciones web correspondientes a las aplicaciones de interés.

Cuando la víctima inicia una aplicación de destino, el malware carga automáticamente la superposición que imita la interfaz del producto legítimo.

InTheBox proporciona inyecciones actualizadas para cientos de aplicaciones, según descubrieron los investigadores de la empresa de inteligencia de amenazas Cyble.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Según el análisis de Cyble, a partir de enero de 2023, InTheBox enumera los siguientes paquetes de inyección web, actualizados en octubre de 2022:

     - 814 inyecciones web compatibles con Alien, Ermac, Octopus y MetaDroid por $6,512
     - 495 inyecciones web compatibles con Cerberus por $3960
     - 585 inyecciones web compatibles con Hydra por $4,680

Para aquellos que no quieren comprar paquetes completos, InTheBox también vende inyecciones web individuales por $30 cada una. La tienda también permite a los usuarios solicitar inyecciones personalizadas para cualquier malware.

Los paquetes de inyección web de InTheBox incluyen el ícono de la aplicación PNG y un archivo HTML con código JavaScript que recopila las credenciales de la víctima y otros datos confidenciales.

Código de plantilla de superposición
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En la mayoría de los casos, las inyecciones cuentan con una segunda superposición que solicita al usuario que ingrese números de tarjetas de crédito, fechas de vencimiento y números de CVV.

Robo de datos de tarjetas de crédito
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cyble dice que las inyecciones de InTheBox pueden verificar la validez de los números de tarjeta de crédito ingresados por las víctimas utilizando el algoritmo de Luhn, que ayuda a los operadores de malware de Android a filtrar datos no válidos.

Validación del número de tarjeta ingresado
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Finalmente, los datos robados se convierten en valor de cadena y se envían a un servidor controlado por el operador del troyano bancario Android.

InTheBox ha estado vendiendo inyecciones web para malware de Android desde febrero de 2020, agregando constantemente nuevas páginas dirigidas a más bancos y aplicaciones financieras.

Cyble pudo confirmar que las inyecciones web de InTheBox han sido utilizadas por los troyanos de Android 'Coper' y 'Alien' en 2021 y septiembre de 2022, respectivamente, mientras que la campaña más reciente tuvo lugar en enero de 2023 y se centró en los bancos españoles.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta