Segundo os pesquisadores da empresa de inteligência de ameaças Cyble, o InTheBox está vendendo formulários de phishing para Android.
Um agente de ameaças chamado InTheBox está promovendo em fóruns de cibercrimes russos um inventário de 1.894 injeções na web (sobreposições de janelas de phishing) para roubar credenciais e dados confidenciais de aplicativos bancários, de troca de criptomoedas e de comércio eletrônico.
As sobreposições são compatíveis com vários malwares bancários do Android e imitam aplicativos operados por grandes organizações usadas em dezenas de países em quase todos os continentes.
Estar disponível em tais números e a preços baixos permite que os cibercriminosos se concentrem em outras partes de suas campanhas, no desenvolvimento do malware e ampliem seu ataque para outras regiões.
InTheBox está vendendo formulários de phishing para Android
Normalmente, os trojans bancários móveis verificam quais aplicativos estão presentes em um dispositivo infectado e extraem do servidor de comando e controle que a web injeta correspondente aos aplicativos de interesse.
Quando a vítima inicia um aplicativo de destino, o malware carrega automaticamente a sobreposição que imita a interface do produto legítimo.
O InTheBox fornece injeções atualizadas para centenas de aplicativos, descobriram pesquisadores da empresa de inteligência de ameaças Cyble.
De acordo com a análise da Cyble, a partir de janeiro de 2023, a InTheBox lista os seguintes pacotes de injeção da web, atualizados até outubro de 2022:
- 814 injeções de web compatíveis com Alien, Ermac, Octopus e MetaDroid por $ 6.512
- 495 injeções de web compatíveis com Cerberus por US$ 3.960
- 585 injeções de teia compatíveis com Hydra por US$ 4.680
Para aqueles que não querem comprar pacotes inteiros, a InTheBox também vende injeções de web individualmente por US$ 30 cada. A loja também permite que os usuários solicitem injeções personalizadas para qualquer malware.
Os pacotes de injeção na web da InTheBox incluem PNGs de ícones de aplicativos e um arquivo HTML com código JavaScript que coleta as credenciais da vítima e outros dados confidenciais.
Na maioria dos casos, as injeções apresentam uma segunda sobreposição que solicita que o usuário insira números de cartão de crédito, datas de validade e números CVV.
Roubo de dados de cartão de crédito (Cyble)
Cyble diz que as injeções da InTheBox podem verificar a validade dos números de cartão de crédito inseridos pelas vítimas usando o algoritmo Luhn, que ajuda os operadores de malware do Android a filtrar dados inválidos.
Por fim, os dados roubados são convertidos em valor string e enviados para um servidor controlado pela operadora do trojan bancário Android.
A InTheBox vende injeções da web para malware Android desde fevereiro de 2020, adicionando constantemente novas páginas que visam mais bancos e aplicativos financeiros.
A Cyble pôde confirmar que as injeções na web da InTheBox foram usadas pelos trojans Android ‘Coper’ e ‘Alien’ em 2021 e setembro de 2022, respectivamente, enquanto a campanha mais recente ocorreu em janeiro de 2023 e teve como alvo os bancos espanhóis.
