Изследователи в областта на киберсигурността хвърлиха светлина върху даркнет пазар, наречен InTheBox, който е създаден специално за операторите на мобилен зловреден софтуер.

Хакерът, който стои зад престъпния магазин, за който се смята, че е достъпен поне от януари 2020г., предлага над 400 персонализирани уеб инжекции, групирани по географски признак, които могат да бъдат закупени от хакери, желаещи да организират свои собствени атаки.

„Автоматизацията позволява на други хакери да създават поръчки, за да получават най-актуалните уеб инжекции за по-нататъшно внедряване в мобилен зловреден софтуер“, казва Resecurity.

„InTheBox може да се нарече най-големият и вероятно единственият в своята пазарна категория, който предоставя висококачествени уеб инжекции за популярни видове мобилен зловреден софтуер.“

Уеб инжекциите са пакети, използвани във финансовия зловреден софтуер, които използват вектора за атака adversary-in-the-browser (AitB), за да сервират зловреден HTML или JavaScript код под формата на наслагващ се екран, когато жертвите стартират приложение за банкиране, криптовалути, плащания, електронна търговия, електронна поща или социални медии.

Тези страници обикновено приличат на легитимна банкова уебстраница за вход и подтикват неволните потребители да въведат поверителни данни, като например идентификационни данни, данни за платежни карти, номера на социалната сигурност (SSN), стойност за проверка на картата (CVV), които след това се използват за компрометиране на банковата сметка и извършване на измама.

InTheBox е достъпен през мрежата  Tor и рекламира за продажба различни шаблони за уеб вкарване, като обявата е достъпна само след като клиентът бъде проверен от администратора и акаунтът бъде активиран.

Уеб инжекциите могат да бъдат закупени или за 100 USD на месец, или като ниво „unlim“, което позволява на купувача да генерира неограничен брой инжекции по време на абонаментния период. Разходите за плана „unlim“ варират между 2475 и 5888 долара в зависимост от поддържаните троянски коне.

Някои от банковите троянци за Android, които се поддържат чрез услугата, включват Alien, Cerberus, ERMAC (и неговия наследник MetaDroid), Hydra и Octo, съобщи базираната в Калифорния компания за киберсигурност.

„По-голямата част от инжекциите с високо търсене са свързани с платежни услуги, включително цифрово банкиране и обмен на криптовалути“, заявиха изследователите. „През ноември 2022г. порталът организира значителна актуализация на близо 144 инжекции, подобрявайки визуалния им дизайн.“

Разработката идва в момент, когато Cyble разкри нова операция за зловреден софтуер като услуга (MaaS) на име DuckLogs, която се продава за 69,99 USD за доживотен достъп, давайки на хакерите възможност да събират чувствителна информация, да превземат транзакции с криптовалути и да управляват машини от разстояние.