Threat Database Malware MobileInter

MobileInter

MobileInter es una nueva encarnación del código de skimmer de Inter, una característica extremadamente popular entre los actores de amenazas de Magecart. Los creadores de MobileInter utilizaron Inter como base, pero modificaron y ampliaron aún más su funcionalidad para adaptarse mejor a sus objetivos concretos. De hecho, MobileInter se aprovecha únicamente de los usuarios de dispositivos móviles. Teniendo en cuenta el gran volumen de gasto en línea que se produce en dispositivos móviles, no es de extrañar que las bandas de Magecart estén ajustando sus operaciones para explotarlo también.

Características de MobileInter

Los aspectos principales de MobileInter son su enfoque en los usuarios móviles y la capacidad de recopilar credenciales de inicio de sesión y datos de pago. Durante el tiempo que los investigadores de RiskIQ rastrearon la amenaza, observaron una evolución definida en las técnicas utilizadas para la exfiltración y anti-detección de datos.

Las primeras variantes de MobileInter obtuvieron imágenes de GitHub que llevaban las URL de exfiltración. Las iteraciones posteriores abandonaron los repositorios de GitHub y comenzaron a llevar las URL de exfiltración dentro de su código skimmer. Además, las últimas versiones de MobileInter utilizan WebSockets para cargar datos.

Como el actor de amenazas detrás de MobileInter está interesado en apuntar solo a usuarios móviles, han equipado su herramienta de malware con múltiples pruebas diseñadas para determinar si las transacciones de pago se realizan en un dispositivo adecuado. Para empezar, la amenaza realiza una verificación de expresiones regulares en la ubicación de la ventana para discernir si una página de pago está abierta actualmente. Luego, la misma verificación de expresiones regulares también intenta ver si el userAgent está configurado para uno de varios navegadores móviles. MobileInter también rastrea las dimensiones de la ventana del navegador y las compara con lo que se espera de un navegador móvil. Si las comprobaciones arrojan un resultado positivo, el malware procede a escanear los datos objetivo y exfiltrarlos a través de una serie de funciones.

Técnicas de evasión

Para enmascarar sus actividades nefastas, MobileInter da los nombres de sus funciones que imitan los de los servicios legítimos. Por ejemplo, la función 'rumbleSpeed', que determina la velocidad a la que se realiza la exfiltración de datos, está diseñada para aparecer como parte del complemento jRumble para jQuery.

En cuanto a los dominios empleados en la operación, también utilizan servicios legítimos como disfraz. Entre los numerosos dominios relacionados con la amenaza, algunos se hacen pasar por jQuery, Amazon, Alibaba, etc. Las operaciones de MobileInter más recientes se basan en los servicios de Google por completo, incluidas las URL de exfiltración y la URL de WebSocket que se enmascara como Google Tag Manager.

Tendencias

Mas Visto

Cargando...