Lebih dari 1800 Formulir Phishing Android Dijual di Cybercrime Marketplace

TEKNO.pemkab.comLebih dari 1800 Formulir Phishing Android Dijual di Cybercrime Marketplace

Seorang aktor ancaman bernama InTheBox mengiklankan di forum kejahatan dunia maya Rusia daftar 1.894 suntikan web (pembungkus jendela phishing) untuk mencuri kredensial dan data sensitif dari bank, pertukaran mata uang kripto, dan aplikasi e-niaga.

Overlay tersebut kompatibel dengan berbagai malware dan emulator perbankan Android yang digunakan oleh organisasi besar di banyak negara di hampir setiap benua.

Tersedia dalam jumlah seperti itu dan dengan harga rendah memungkinkan penjahat dunia maya untuk fokus pada bagian lain dari kampanye mereka, mengembangkan malware, dan memperluas serangan mereka ke area lain.

Biasanya, trojan mobile banking memeriksa aplikasi apa yang ada di perangkat yang terinfeksi dan mengekstrak server perintah-dan-kontrol web yang menyuntikkan aplikasi yang relevan.

Saat korban meluncurkan aplikasi target, malware secara otomatis memuat pembungkus yang meniru antarmuka produk yang sah.

Peneliti dari firma intelijen ancaman Cyble menemukan bahwa InTheBox menawarkan suntikan terbaru untuk ratusan program.

Toko InTheBox (Sibel)

Pada Januari 2023, InTheBox mencantumkan paket injeksi web berikut yang baru saja diperbarui pada Oktober 2022, menurut analisis Cyble:

  • Injeksi web 814 kompatibel dengan Alien, Ermac, Octopus dan MetaDroid seharga $6512
  • Injeksi Web Kompatibel Cerberus 495 seharga $3960
  • 585 Injeksi web yang kompatibel dengan Hydra seharga $4680

Bagi mereka yang tidak ingin membeli paket lengkap, InTheBox juga menjual suntikan web secara individual seharga $30. Toko juga memungkinkan pengguna memesan injeksi khusus untuk malware apa pun.

Paket injeksi web InTheBox berisi ikon aplikasi PNG dan file HTML dengan kode JavaScript yang mengumpulkan kredensial korban dan data sensitif lainnya.

Kode template yang tumpang tindih
Kode template yang tumpang tindih (Sibel)

Dalam kebanyakan kasus, suntikan memiliki penutup kedua yang meminta pengguna memasukkan nomor kartu kredit, tanggal kedaluwarsa, dan nomor CVV.

Pencurian informasi kartu kredit
Pencurian informasi kartu kredit (Sibel)

Cyble mengatakan suntikan InTheBox dapat memverifikasi validitas nomor kartu kredit yang dimasukkan oleh korban menggunakan algoritma Luhn, yang membantu operator malware Android menyaring data yang tidak valid.

Konfirmasikan nomor kartu yang dimasukkan
Konfirmasikan nomor kartu yang dimasukkan (Sibel)

Terakhir, data yang dicuri diubah menjadi nilai string dan dikirim ke server yang dikendalikan oleh operator Trojan perbankan Android.

InTheBox telah menjual injeksi web untuk malware Android sejak Februari 2020 dan terus menambahkan halaman baru yang menargetkan lebih banyak bank dan aplikasi keuangan.

Cyble dapat mengonfirmasi bahwa injeksi web InTheBox digunakan oleh Trojan Android “Coper” dan “Alien” masing-masing pada tahun 2021 dan September 2022, sedangkan kampanye terbaru berlangsung pada Januari 2023 dan menargetkan bank-bank Spanyol.