Les chercheurs en sécurité de RiskIQ ont récemment publié une analyse détaillée du skimmer MobileInter, qui est "une version modifiée et étendue du code Inter skimmer,” entièrement tourné vers les mobinautes.
« Avec près de trois dollars sur quatre dépensés en ligne via un appareil mobile, ce n’est pas étonnant Opérateurs de chariots magiques cherchent à cibler ce paysage lucratif,» Le rapport. Pour déterminer les fonctionnalités de MobileInter et les liens vers d’autres activités de skimmer, l'équipe RiskIQ a effectué un analyse détaillée.
Un écumeur uniquement mobile: MobileInter
Comme MobileInter cible entièrement les utilisateurs mobiles, le malware effectue diverses vérifications pour déterminer le type d'appareil.
- Première, il effectue une vérification de l'expression régulière par rapport à l'emplacement de la fenêtre pour déterminer s'il se trouve sur une page de paiement.
- Une vérification regex détermine également si l'userAgent de l'utilisateur est défini sur l'un des nombreux navigateurs mobiles, comme l'iPhone.
- Le skimmer vérifie également les dimensions de la fenêtre du navigateur pour voir si elles correspondent à une taille attendue pour un navigateur mobile..
Une fois les contrôles finalisés, le logiciel malveillant d'écrémage procède à l'écrémage et à l'exfiltration de données à l'aide d'autres fonctionnalités. Pour éviter la détection, les auteurs du malware ont désigné les processus comme des services légitimes.
"Par example, 'rumbleVitesse,’ une fonction qui détermine la fréquence à laquelle la fonction d'exfil de données est tentée, est destiné à se fondre dans le plugin jRumble pour jQuery, laquelle “gronde” éléments d'une page Web pour attirer l'attention de l'utilisateur,»A déclaré RiskIQ.
Il est également à noter que l'écumeur MobileInter déploie d'autres méthodes pour masquer ses opérations. L'une de ces méthodes consiste à déguiser ses domaines en services légitimes. Apparemment, La liste des domaines de MobileInter est assez longue et comprend des noms qui imitent Alibaba, Amazone, et jQuery. Cependant, son objectif le plus récent est d'imiter les services Google. "Les deux URL d'exfil utilisées par le skimmer imitent Google, avec l'URL WebSocket se faisant passer pour Google Tag Manager,»Le rapport note.
Les chercheurs ont également observé un chevauchement des infrastructures avec d'autres groupes de cybercriminalité.. Il est certain que MobileInter appartient à un, infrastructure d'écrémage partagée et « hébergement à l'épreuve des balles qui dessert plusieurs autres écumeurs et logiciels malveillants ». Le même schéma a également été observé dans l'écrémage de familles de logiciels malveillants tels que Grelos.
Précédent Écumoires Magecart
Grelos est sorti en novembre, 2020. Également analysé par les chercheurs de RiskIQ, cette souche comprend une refonte du code original repéré pour la première fois dans 2015. Feuilles de navet se compose d'un chargeur et d'un écumeur qui utilise l'obscurcissement base64 qui cache un écumeur à deux étages. Il est à noter que le skimmer Grelos existe depuis 2015, avec sa version originale associée aux groupes Magecart 1 et 2, le rapport souligne. Certains acteurs malveillants continuent d'utiliser certains des domaines d'origine déployés pour charger le skimmer.
D'autres écumeurs basés sur Magecart incluent Gardien et MakeFrame.