A mediados de Diciembre del año pasado, investigadores de la empresa de ciberseguridad Resecurity® Hunter descubrieron en la Deep web el mercado web dedicado a la venta de malware más grande, llamado InTheBox. Esta plataforma de la Deep Web, ha estado operando desde principios del 2020 y permite a sus usuarios generar y utilizar inyecciones web (web injects).
Las inyecciones web basicamente consiste en introducir código HTML o JavaScript sobre una página web antes de que el navegador la renderice, aprovechando las vulnerabilidades del propio navegador obligaría a la aplicación web a hacer algo que se suponía que no debía hacer. Como consecuencia, recopilará credenciales y datos confidenciales de la víctima.
Según los investigadores de la empresa de inteligencia de amenazas Cyble, ahora la dicha plataforma puso a la venta mas de 1 800 formularios de phishing de Android que roban credenciales y datos confidenciales de aplicaciones bancarias, comercio electrónico e intercambio de criptomonedas. Promocionando en los foros rusos dedicados a la ciberdelincuencia.
Las web injects son compatibles con varios malware bancarios de Android y utiliza una interfaz superpuesta que se disfraza como una interfaz de aplicación móvil legítima, es decir imitan aplicaciones operadas por las principales organizaciones en diferentes países del mundo.
Lea también: Malware ataca a millones de usuarios de Google Play
Los troyanos bancarios móviles verifican qué apps están instalados en un dispositivo infectado para luego extraer del servidor de comando y control las inyecciones web correspondientes a las aplicaciones de interés.
Cuando la víctima inicia una aplicación, el malware carga automáticamente la superposición que imita la interfaz de la aplicación móvil legítima.
Según los investigadores de la empresa de inteligencia de amenazas Cyble, InTheBox proporciona inyecciones actualizadas para cientos de aplicaciones, a partir de enero de 2023, la plataforma enumera los siguientes paquetes de inyección web, actualizados en octubre de 2022:
- 814 inyecciones web compatibles con Ermac , Octopus, Metadroid y Alien por $6512,
- 495 inyecciones web compatibles con Cerberus por $3960 585 inyecciones web compatibles con Hydra por $4680.
Lea también: Nuevos ataques de ‘phishing’ a través de llamadas
Para los compradores que no están interesados en el paquete completo, pueden optar por las inyecciones web individuales que cuestan alrededor $50 a $30 cada una. InTheBox también ofrece a los usuarios solicitar desarrollo de inyecciones web personalizadas para cualquier malware bancario.
Los paquetes de inyecciones web que ofrece InTheBox se entregan en un archivo zip que incluyen ícono de aplicación en formato PNG y un archivo HTML con código JavaScript que recopila las credenciales de la víctima y otros datos confidenciales mediante una interfaz de inicio de sesión parecida a la app original. Los datos robados se envían a un servidor controlado por el operador del troyano bancario Android.
Para protegerse contra las amenazas de ese tipo, los investigadores recomiendan descargar software de fuentes confiables, instalar, actualizar el antivirus y habilitar Google Play Protect en dispositivos Android. Por su parte los bancos y otras instituciones financieras deben educar adecuadamente a sus clientes sobre cómo protegerse contra los ataques de malware a través de diferentes vectores.
____________________________
[Desde Guna Yala, un artículo de Morbeb Tech]
