Threat Database Malware MobileInter

MobileInter

MobileInter är en ny inkarnation av Inter skimmer-koden, en funktion som är mycket populär bland Magecart-hotaktörer. Skaparna av MobileInter använde Inter som grund men modifierade och utvidgade dess funktionalitet för att bättre passa deras specifika uppsatta mål. I själva verket utnyttjas MobileInter enbart mot mobilanvändare. Med tanke på den stora volymen av online-utgifter som sker på mobila enheter är det inte konstigt att Magecart-gängen justerar sin verksamhet för att också utnyttja den.

MobileInter-egenskaper

De viktigaste aspekterna av MobileInter är dess fokus på mobilanvändare och möjligheten att samla inloggningsuppgifter och betalningsdata. Under den tid som forskarna vid RiskIQ spårade hotet observerade de en bestämd utveckling i teknikerna som används för dataexfiltrering och antidetektion.

De första varianterna av MobileInter hämtade bilder från GitHub som bar exfiltrerings-URL: erna. Senare iterationer dödade GitHub-förvaren och började bära exfiltrerings-URL: erna inom sin skimmerkod. Dessutom använder de senaste MobileInter-versionerna WebSockets för dataöverföring.

Eftersom hotaktören bakom MobileInter är intresserad av att bara rikta in sig på mobilanvändare har de utrustat sitt malwareverktyg med flera tester för att avgöra om betalningstransaktionerna görs på en lämplig enhet. Till att börja med utför hotet en regex-kontroll mot platsen för fönstret för att urskilja om en kassasida är öppen för närvarande. Då försöker samma regex-kontroll också att se om userAgent är inställd för en av flera mobila webbläsare. MobileInter spårar också webbläsarfönstrets mått och matchar dem med vad som förväntas för en mobilwebbläsare. Om kontrollerna ger ett positivt resultat fortsätter skadlig programvara att skumma riktad data och exfiltrera den genom en serie funktioner.

Undvikelsestekniker

För att dölja sina otrevliga aktiviteter ger MobileInter namnen på sina funktioner som efterliknar legitima tjänster. Till exempel är funktionen 'rumbleSpeed', som bestämmer hastigheten med vilken dataexfiltrering utförs, att visas som en del av jRumble-plugin för jQuery.

När det gäller domänerna som används i verksamheten använder de också legitima tjänster som förklädnader. Bland de många domänerna som är relaterade till hotet, imiterar vissa jQuery, Amazon, Alibaba, etc. De senaste MobileInter-åtgärderna modelleras helt efter Googles tjänster, inklusive exfiltrerings-URL: er och WebSocket URL som maskerar sig som Google Tag Manager.

Trendigt

Mest sedda

Läser in...