移动互联网

MobileInter 是 Inter Skimmer 代码的新化身，该功能在 Magecart 威胁参与者中非常受欢迎。 MobileInter 的创建者以 Inter 为基础，但进一步修改和扩展了其功能，以更好地适应他们特定的既定目标。实际上，MobileInter 仅针对移动用户。考虑到移动设备上发生的大量在线支出，Magecart 团伙也在调整他们的运营以利用它也就不足为奇了。

MobileInter 特性

MobileInter 的主要方面是专注于移动用户以及收集登录凭据和支付数据的能力。在 RiskIQ 的研究人员跟踪威胁期间，他们观察到用于数据泄露和反检测的技术发生了明显的演变。

MobileInter 的第一个变体从 GitHub 获取带有渗漏 URL 的图像。后来的迭代抛弃了 GitHub 存储库，并开始在他们的撇渣器代码中携带外泄 URL。此外，最新的 MobileInter 版本使用 WebSockets 进行数据上传。

由于 MobileInter 背后的威胁行为者只针对移动用户感兴趣，因此他们为恶意软件工具配备了多项测试，旨在确定支付交易是否在合适的设备上进行。首先，威胁会对窗口的位置进行正则表达式检查，以辨别结帐页面当前是否打开。然后，相同的正则表达式检查还会尝试查看是否为多个移动浏览器之一设置了 userAgent。 MobileInter 还跟踪浏览器窗口的尺寸，并将它们与移动浏览器的预期尺寸相匹配。如果检查返回阳性结果，恶意软件将继续浏览目标数据并通过一系列函数将其渗漏。

规避技巧

为了掩盖其恶意活动，MobileInter 给出了模仿合法服务的功能名称。例如，“rumbleSpeed”函数决定了执行数据泄露的速率，它被设计为作为 jQuery 的 jRumble 插件的一部分出现。

至于在行动中使用的域，他们也伪装成合法的服务。在与威胁相关的众多域中，一些冒充 jQuery、亚马逊、阿里巴巴等。最近的 MobileInter 操作完全模仿谷歌服务，包括外泄 URL 和伪装成谷歌标签管理器的 WebSocket URL。