Notícias de dispositivos móveis, gadgets, aplicativos Android

Mais de 1.800 inje√ß√Ķes da Web para aplicativos m√≥veis Android √† venda em f√≥runs de hackers

Cyble Research and Intelligence Labs (CRIL) √© uma organiza√ß√£o de pesquisa de seguran√ßa que vem monitorando as a√ß√Ķes de um grupo de criminosos cibern√©ticos chamado ‚ÄúInTheBox‚ÄĚ.

Este grupo atua principalmente em um fórum de crime cibernético em língua russa, onde se envolve em atividades ilegais, como hacking, fraude e outras formas de crime cibernético.

A InTheBox opera uma loja online acess√≠vel atrav√©s da rede an√īnima Tor. Esta loja vende ferramentas e servi√ßos para a pr√°tica de crimes cibern√©ticos, como ‚Äúweb injects‚ÄĚ.

Essas inje√ß√Ķes na web s√£o peda√ßos de c√≥digo malicioso que podem ser usados ‚Äč‚Äčpara manipular e roubar informa√ß√Ķes confidenciais de v√≠timas que usam dispositivos Android infectados para atividades banc√°rias.

A loja tem expandido seu estoque adicionando novos web injects que são compatíveis com vários malwares bancários para Android. Esses web injects estão sendo vendidos a preços baixos e com descontos atrativos, tornando-os atraentes para outros cibercriminosos.

O Threat Actor forneceu inje√ß√Ķes na web que visavam comprometer v√°rios tipos de servi√ßos financeiros, incluindo bancos de varejo, plataformas de pagamento m√≥vel, trocas de criptomoedas e aplicativos de com√©rcio eletr√īnico administrados por empresas conhecidas em v√°rios pa√≠ses, como: –

  • Austr√°lia
  • Brasil
  • √ćndia
  • Indon√©sia
  • Jap√£o
  • Kuwait
  • Mal√°sia
  • Filipinas
  • Catar
  • Ar√°bia Saudita
  • Cingapura
  • Tail√Ęndia
  • Os Estados Unidos

Aplicativo móvel Android Pacotes de injeção na Web

A InTheBox é um player bem estabelecido no mercado de crimes cibernéticos, com um histórico verificado de venda de web injects para aplicativos móveis Android desde fevereiro de 2020.

Eles administram uma loja online acess√≠vel atrav√©s da rede Tor, fornecendo uma plataforma an√īnima e segura para a venda de seus produtos maliciosos. A loja √© automatizada, permitindo transa√ß√Ķes r√°pidas e eficientes para clientes que desejam comprar web injects.

N√≥s recomendamos:  Os melhores aplicativos Android para enviar SMS

Os pre√ßos dos pacotes de inje√ß√£o ilimitada na web foram listados a seguir na loja online: –

  • 814 inje√ß√Ķes web compat√≠veis com Alien, Ermac, Octopus e MetaDroid por USD 6,512
  • 495 inje√ß√Ķes web compat√≠veis com Cerberus por USD 3.960
  • 585 inje√ß√Ķes web compat√≠veis com Hydra por USD 4,680

A InTheBox reduziu o custo de inje√ß√Ķes de teia √ļnica de US$ 50 para US$ 30 cada. Al√©m disso, para qualquer bot de malware banc√°rio, eles tamb√©m oferecem um servi√ßo personalizado de desenvolvimento de inje√ß√£o na web.

Web Injects compartilhados como arquivo

A InTheBox fornece web injects que normalmente s√£o empacotados em um arquivo compactado. O arquivo cont√©m dois elementos: –

  • Um √≠cone de aplicativo em formato PNG
  • Um arquivo HTML

O arquivo HTML inclu√≠do nos web injects oferecidos pela InTheBox cont√©m c√≥digo JavaScript projetado para coletar informa√ß√Ķes confidenciais, como credenciais e dados.

O c√≥digo √© executado por meio de uma interface de sobreposi√ß√£o maliciosa integrada ao aplicativo m√≥vel. Essa interface de sobreposi√ß√£o se disfar√ßa como um formul√°rio de entrada, enganando o usu√°rio para que ele insira informa√ß√Ķes confidenciais.

Em muitos casos, os web injects entregues pela InTheBox incluem uma interface de sobreposi√ß√£o secund√°ria que aparece para o usu√°rio como um formul√°rio. Este formul√°rio solicita que o usu√°rio insira informa√ß√Ķes confidenciais, como: –

  • N√ļmeros de cart√£o de cr√©dito
  • Datas de expira√ß√£o
  • N√ļmeros CVV

Um exame das fun√ß√Ķes de chamada JavaScript nas inje√ß√Ķes web da InTheBox revelou um padr√£o. O padr√£o indicou a presen√ßa de um web injects Android HTML incorporado em JS semelhante que foi desenvolvido com a inten√ß√£o de coletar credenciais de um aplicativo banc√°rio usado por indiv√≠duos no Brasil.

N√≥s recomendamos:  Um guia passo a passo para criar an√ļncios bumper envolventes com AI Voiceover

O web inject foi projetado para aparecer como uma interface de sobreposi√ß√£o dentro do aplicativo banc√°rio, enganando os usu√°rios para que inserissem suas informa√ß√Ķes confidenciais, que seriam ent√£o coletadas pelo c√≥digo JavaScript do web inject.

Al√©m disso, notou-se que as mesmas fun√ß√Ķes de chamada encontradas no web inject do aplicativo banc√°rio brasileiro tamb√©m foram utilizadas em outro web inject do Android. Esta segunda inje√ß√£o web teve como alvo uma aplica√ß√£o banc√°ria m√≥vel utilizada por particulares em Espanha e foi descoberta em janeiro de 2023.

Observou-se que o código JavaScript encontrado no web inject estava se comunicando com um servidor C&C. O servidor estava hospedado no MivoCloud SRL, um serviço de hospedagem offshore com sede na Moldávia, e seu endereço era:-

  • http[:]//194[.]180[.]174[.]127/uadmin/gate.php

O aplicativo m√≥vel do banco espanhol que foi alvo do web inject descoberto em janeiro de 2023 tamb√©m foi alvo recentemente de outro web inject. Observou-se que esta segunda inje√ß√£o da web se comunica com um servidor de Comando e Controle (C&C) localizado em: –

  • http[:]//85[.]31[.]46[.]136/uadmin/gate.php

O servidor C&C foi hospedado pela Namecheap, um renomado registrador de domínios e provedor de hospedagem na web.

Recomenda√ß√Ķes

A seguir mencionamos todas as recomenda√ß√Ķes oferecidas pelos especialistas em seguran√ßa: –

  • Certifique-se de baixar os aplicativos apenas em lojas oficiais.
  • Sempre use antiv√≠rus licenciados.
  • Certifique-se de manter seu dispositivo atualizado com todas as atualiza√ß√Ķes e patches de seguran√ßa mais recentes.
  • N√£o abra links desconhecidos recebidos por meio de mensagens ou e-mails de fontes desconhecidas.
  • Certifique-se de ativar o Google Play Protect no seu dispositivo Android.
  • Seja cauteloso ao conceder permiss√Ķes aos aplicativos.
  • Sempre mantenha seus aplicativos instalados atualizados.
  • Execute uma redefini√ß√£o de f√°brica no dispositivo como parte do processo para resolver quaisquer problemas.
  • Se uma redefini√ß√£o de f√°brica n√£o for vi√°vel, outra alternativa √© remover o aplicativo.
N√≥s recomendamos:  5 Dicas t√©cnicas para propriet√°rios de empresas