Threat Database Malware MobielInterieur

MobielInterieur

MobileInter is een nieuwe incarnatie van de Inter skimmer-code, een functie die extreem populair is onder Magecart-bedreigingsactoren. De makers van MobileInter gebruikten Inter als basis, maar wijzigden en breidden de functionaliteit verder uit om beter te voldoen aan hun specifieke gestelde doelen. MobileInter wordt inderdaad uitsluitend gebruikt tegen mobiele gebruikers. Gezien het enorme volume aan online uitgaven dat plaatsvindt op mobiele apparaten, is het geen wonder dat de Magecart-bendes hun activiteiten aanpassen om er ook gebruik van te maken.

MobileInter-kenmerken

De belangrijkste aspecten van MobileInter zijn de focus op mobiele gebruikers en de mogelijkheid om inloggegevens en betalingsgegevens te verzamelen. Gedurende de tijd dat de onderzoekers van RiskIQ de dreiging volgden, zagen ze een duidelijke evolutie in de technieken die worden gebruikt voor data-exfiltratie en anti-detectie.

De eerste varianten van MobileInter haalden afbeeldingen op van GitHub die de exfiltratie-URL's droegen. Latere iteraties hebben de GitHub-repository's gedumpt en begonnen de exfiltratie-URL's in hun skimmer-code te dragen. Bovendien gebruiken de nieuwste MobileInter-versies WebSockets voor het uploaden van gegevens.

Omdat de dreigingsactor achter MobileInter geïnteresseerd is om zich alleen op mobiele gebruikers te richten, hebben ze hun malwaretool uitgerust met meerdere tests die zijn ontworpen om te bepalen of de betalingstransacties op een geschikt apparaat worden gedaan. Om te beginnen voert de dreiging een regex-controle uit op de locatie van het venster om te zien of er momenteel een afrekenpagina is geopend. Vervolgens probeert dezelfde regex-controle ook te zien of de userAgent is ingesteld voor een van de verschillende mobiele browsers. MobileInter houdt ook de afmetingen van het browservenster bij en stemt deze af op wat er van een mobiele browser wordt verwacht. Als de controles een positief resultaat opleveren, gaat de malware verder met het afromen van de gerichte gegevens en exfiltreren deze via een reeks functies.

Ontwijkingstechnieken

Om zijn snode activiteiten te maskeren, geeft MobileInter de namen van zijn functies die die van legitieme diensten nabootsen. De functie 'rumbleSpeed', die de snelheid bepaalt waarmee gegevensexfiltratie wordt uitgevoerd, is bijvoorbeeld ontworpen om te verschijnen als onderdeel van de jRumble-plug-in voor jQuery.

Wat betreft de domeinen die bij de operatie worden gebruikt, ook zij gebruiken legitieme diensten als vermomming. Van de vele domeinen die verband houden met de dreiging, doen sommige zich voor als jQuery, Amazon, Alibaba, enz. De meer recente MobileInter-operaties zijn volledig gemodelleerd naar Google-services, inclusief de exfiltratie-URL's en de WebSocket-URL die zichzelf maskeert als Google Tag Manager.

Trending

Meest bekeken

Bezig met laden...