移動互聯網

MobileInter 是 Inter Skimmer 代碼的新化身，該功能在 Magecart 威脅參與者中非常受歡迎。 MobileInter 的創建者以 Inter 為基礎，但進一步修改和擴展了其功能，以更好地適應他們特定的既定目標。實際上，MobileInter 僅針對移動用戶。考慮到移動設備上發生的大量在線支出，Magecart 團伙也在調整他們的運營以利用它也就不足為奇了。

MobileInter 特性

MobileInter 的主要方面是專注於移動用戶以及收集登錄憑據和支付數據的能力。在 RiskIQ 的研究人員跟踪威脅期間，他們觀察到用於數據洩露和反檢測的技術發生了明顯的演變。

MobileInter 的第一個變體從 GitHub 獲取帶有滲漏 URL 的圖像。後來的迭代拋棄了 GitHub 存儲庫，並開始在他們的撇渣器代碼中攜帶外洩 URL。此外，最新的 MobileInter 版本使用 WebSockets 進行數據上傳。

由於 MobileInter 背後的威脅行為者只想針對移動用戶，他們為惡意軟件工具配備了多項測試，旨在確定支付交易是否在合適的設備上進行。首先，威脅會對窗口的位置進行正則表達式檢查，以辨別結帳頁面當前是否打開。然後，相同的正則表達式檢查還會嘗試查看是否為多個移動瀏覽器之一設置了 userAgent。 MobileInter 還跟踪瀏覽器窗口的尺寸，並將它們與移動瀏覽器的預期尺寸相匹配。如果檢查返回陽性結果，惡意軟件將繼續瀏覽目標數據並通過一系列函數將其滲漏。

規避技巧

為了掩蓋其惡意活動，MobileInter 給出了模仿合法服務的功能名稱。例如，“rumbleSpeed”函數決定了執行數據洩露的速率，它被設計為作為 jQuery 的 jRumble 插件的一部分出現。

至於在行動中使用的域，他們也偽裝成合法的服務。在與威脅相關的眾多域中，一些冒充 jQuery、亞馬遜、阿里巴巴等。最近的 MobileInter 操作完全模仿谷歌服務，包括外洩 URL 和偽裝成谷歌標籤管理器的 WebSocket URL。