Más de 1.800 formularios de phishing para Android a la venta en foros online

El objetivo es robar credenciales y datos de aplicaciones bancarias.

El actor de amenazas InTheBox está promocionando en los foros rusos sobre delitos cibernéticos un inventario de 1894 inyecciones web (superposiciones de ventanas de phishing) para robar credenciales y datos confidenciales de aplicaciones bancarias, de intercambio de criptomonedas y de comercio electrónico.

Las superposiciones son compatibles con varios programas maliciosos bancarios de Android e imitan aplicaciones operadas por las principales organizaciones que se utilizan en docenas de países en casi todos los continentes.

Estar disponible en tales cantidades y a precios bajos permite a los ciberdelincuentes concentrarse en otras partes de sus campañas, el desarrollo del malware y ampliar su ataque a otras regiones.

Por lo general, los troyanos bancarios móviles verifican qué aplicaciones están presentes en un dispositivo infectado y extraen del servidor de comando y control las inyecciones web correspondientes a las aplicaciones de interés.

Cuando la víctima inicia una aplicación de destino, el malware carga automáticamente la superposición que imita la interfaz del producto legítimo.

InTheBox proporciona inyecciones actualizadas para cientos de aplicaciones, según descubrieron los investigadores de la empresa de inteligencia de amenazas Cyble.

Imagen vía BleepingComputer

Según el análisis de Cyble, a partir de enero de 2023, InTheBox enumera los siguientes paquetes de inyección web, actualizados en octubre de 2022:

• 814 inyecciones web compatibles con Alien, Ermac, Octopus y MetaDroid por $6,512
• 495 inyecciones web compatibles con Cerberus por $3960
• 585 inyecciones web compatibles con Hydra por $4,680

Para aquellos que no quieren comprar paquetes completos, InTheBox también vende inyecciones web individuales por $30 cada una. La tienda también permite a los usuarios solicitar inyecciones personalizadas para cualquier malware.

Los paquetes de inyección web de InTheBox incluyen el ícono de la aplicación PNG y un archivo HTML con código JavaScript que recopila las credenciales de la víctima y otros datos confidenciales.

Finalmente, los datos robados se convierten en valor de cadena y se envían a un servidor controlado por el operador del troyano bancario Android.

InTheBox ha estado vendiendo inyecciones web para malware de Android desde febrero de 2020, agregando constantemente nuevas páginas dirigidas a más bancos y aplicaciones financieras.

Cyble pudo confirmar que las inyecciones web de InTheBox han sido utilizadas por los troyanos de Android ‘Coper’ y ‘Alien’ en 2021 y septiembre de 2022, respectivamente, mientras que la campaña más reciente tuvo lugar en enero de 2023 y se centró en los bancos españoles.