InTheBox は Web インジェクション販売業者：バンキング狙いのツール 1,800種類を提供

Over 1,800 Android phishing forms for sale on cybercrime market

2023/02/02 BleepingComputer — ロシアのサイバー犯罪フォーラムで、InTheBox という脅威アクターが宣伝しているのは、銀行／暗号通貨取引所／電子商取引などのアプリから、認証情報や機密データを盗むための Web インジェクション (フィッシング・ウィンドウのオーバーレイ) 1,894 件の商品目録である。このオーバーレイは、多様な Android バンキング・マルウェアと互換性があり、世界の数十カ国で使用されている、主要な犯罪組織が運営するアプリを模倣している。このような悪意のプロダクトが、大量かつ安価に入手できるサイバー犯罪者たちは、マルウェアの開発などに集中することが可能であり、また、さまざまな国々へと攻撃を拡大できる。

モバイル環境における一般的なバンキング・トロイの木馬は、感染させたデバイスに存在するアプリの種類を確認した後に、関心のある正規アプリに対応する Web インジェクションを、Command and Control (C2) サーバから引き出す。

そして、被害者がターゲットとなるアプリを起動すると、正規アプリのインターフェイスを模倣したオーバーレイが、マルウェアにより自動的に読み込まれる。

脅威情報企業である Cyble の研究者により、数百の正規アプリに対応する最新のインジェクションが、InTheBox により提供されていることが露見した。

Cyble の分析によると、2023年1月の時点において、InTheBox がリストアップしている Web インジェクト・パッケージは以下の通りであり、2022年10月から最新のものが掲載されている。

• Alien／Ermac／Octopus／MetaDroid に対応する 814本の Web インジェクション：$6,512
• Cerberus と互換性のある 495本の Web インジェクション：$3,960
• Hydra と互換性のある 585本の Web インジェクション：$4,680

InTheBox では、パッケージ購入が無理な人のために、Web インジェクショ
ンを $30／1本 でバラ売りもしている。また、このショップでは、あらゆるマルウェアに対応する カスタム Web インジェクションの注文も可能である。

InTheBox の Web インジェクション・パッケージに含まれるのは、アプリ・アイコンの PNG と、被害者の認証情報に加えて、機密データを収集するため JavaScript コードを埋め込んだ HTMLファイルなどである。

大半のケースにおいて、一連の Web インジェクションが備えているのは、クレジット・カード番号／有効期限／CVV 番号の入力をユーザーに要求する、２番目のオーバーレイである。

Cyble によると、InTheBox のインジェクトで用いられる Luhn アルゴリズムは、被害者が入力したクレジット・カード番号の有効性をチェックすることが可能であり、Android マルウェアのオペレータによる無効データのフィルタリングを効率化するとのことだ。

最終的に、盗み出されたデータは文字列に変換され、Android バンキング型トロイの木馬のオペレータが制御するサーバへと送信される。

InTheBox は、2020年2月から Android マルウェア 用の Web インジェクションを販売しており、銀行や金融アプリを標的とする新たなページを常に追加している。

Cyble は、InTheBox の Web インジェクトと Android トロイの木馬との関連性について、2021年には Coper に、2022年9月には Alien に使用されたことを確認している。ただし、関連が疑われる最新のキャンペーンは 2023年1月に発生し、スペインの銀行がターゲットにされている。

InTheBox に関しては、2022/12/06 の「InTheBox というダークウェブ：金融サービスを標的とする Web インジェクションを提供」で、すでにお伝えしています。そちらの記事では、「400 以上のカスタム Web インジェクションを、“unlim” プランを購入すれば、契約期間中に無制限にインジェクションを取得できる。この unlim プランのコストは、サポートされるトロイの木馬に応じて、$2,475〜$5,888 の間で変動する」と記されているので、商品の幅が広がり、販売形態が変化しているようです。よろしければ、Android + RAT で検索も、ご利用ください。