Injeksi web phising ini digunakan untuk mencuri kredensial dan data sensitif dari perbankan, pertukaran mata uang kripto, dan aplikasi e-commerce.
Dikutip dari Bleeping Computer, analis keamanan siber dari Cyble mengatakan, tampilan dari injeksi web phising ini kompatibel dengan berbagai malware perbankan Android dan aplikasi tiruan yang dioperasikan oleh organisasi besar yang digunakan di puluhan negara di hampir semua benua. Bahkan, alat ini tersedia dalam jumlah besar dan harga yang murah.
“Ini memungkinkan penjahat siber untuk fokus pada bagian lain dari kampanye mereka, pengembangan malware, dan memperluas serangan mereka ke wilayah lain,” kata Cyble.
Cyble mengatakan, biasanya trojan mobile banking memeriksa aplikasi apa yang ada pada perangkat yang terinfeksi dan menarik dari server perintah dan kontrol yang disuntikkan web sesuai dengan aplikasi yang diinginkan. Saat korban meluncurkan aplikasi target, malware secara otomatis memuat overlay yang meniru antarmuka produk yang sah.
InTheBox menyediakan injeksi terbaru untuk ratusan aplikasi bagi para penjahat siber. Bahkan, analisis Cyble, per Januari 2023 InTheBox mencantumkan paket penyuntikan web, yang diperbarui hingga Oktober 2022.
Seperti 814 web menyuntikkan kompatibel dengan Alien, Ermac, Octopus, dan MetaDroid seharga $6.512, 495 web menyuntikkan kompatibel dengan Cerberus seharga $3.960, dan 585 web menyuntikkan kompatibel dengan Hydra seharga $4.680.
Bagi mereka yang tidak ingin membeli seluruh paket, InTheBox juga menjual suntikan web satu per satu seharga $30. Toko juga memungkinkan pengguna untuk memesan suntikan khusus untuk malware apa pun.
Paket injeksi web InTheBox menyertakan ikon aplikasi PNG dan file HTML dengan kode JavaScript yang mengumpulkan kredensial korban dan data sensitif lainnya. Dalam kebanyakan kasus, fitur injeksi overlay kedua yang meminta pengguna memasukkan nomor kartu kredit, tanggal kedaluwarsa, dan nomor CVV.
Cyble mengatakan bahwa injeksi InTheBox dapat memeriksa validitas nomor kartu kredit yang dimasukkan oleh korban menggunakan algoritme Luhn, yang membantu operator malware Android menyaring data yang tidak valid.
Terakhir, data yang dicuri diubah menjadi nilai string dan dikirim ke server yang dikendalikan oleh operator trojan perbankan Android. InTheBox telah menjual suntikan web untuk malware Android sejak Februari 2020, terus menambahkan halaman baru yang menargetkan lebih banyak bank dan aplikasi keuangan.
Cyble dapat mengonfirmasi bahwa injeksi web InTheBox telah digunakan oleh trojan Android 'Coper' dan 'Alien' masing-masing pada tahun 2021 dan September 2022, sedangkan kampanye terbaru terjadi pada Januari 2023 dan menargetkan bank-bank Spanyol.
Comments
Post a Comment