Des chercheurs en cybersécurité ont mis en lumière un marché darknet appelé Dans la boite qui est conçu pour répondre spécifiquement aux opérateurs de logiciels malveillants mobiles.
L’acteur derrière la vitrine criminelle, qui serait disponible depuis au moins janvier 2020, propose plus de 400 injections Web personnalisées regroupées par géographie qui peuvent être achetées par d’autres adversaires cherchant à monter leurs propres attaques.
« L’automatisation permet à d’autres acteurs malveillants de créer des commandes pour recevoir les injections Web les plus récentes pour une implémentation ultérieure dans les logiciels malveillants mobiles », Resecurity a dit.
« InTheBox peut être appelé le plus grand et probablement le seul dans sa catégorie de marché à fournir des injections Web de haute qualité pour les types populaires de logiciels malveillants mobiles. »
Les injections Web sont paquets utilisé dans les logiciels malveillants financiers qui exploitent le vecteur d’attaque de l’adversaire dans le navigateur (AitB) pour diffuser du code HTML ou JavaScript malveillant sous la forme d’un écran superposé lorsque les victimes lancent une banque, une crypto, des paiements, un commerce électronique, un e-mail ou application de médias sociaux.
Ces pages ressemblent généralement à une page Web de connexion bancaire légitime et invitent les utilisateurs involontaires à saisir des données confidentielles telles que des informations d’identification, des données de carte de paiement, des numéros de sécurité sociale (SSN), une valeur de vérification de carte (CVV) qui est ensuite utilisée pour compromettre le compte bancaire et commettre une fraude. .
InTheBox est accessible sur le réseau d’anonymat Tor et annonce une variété de modèles d’injection Web à vendre, la liste n’étant accessible qu’après qu’un client a été vérifié par l’administrateur et que le compte est activé.
Les injections Web peuvent être achetées pour 100 $ par mois ou en tant que niveau « illimité » qui permet à l’acheteur de générer un nombre illimité d’injections pendant la période d’abonnement. Les coûts du plan illimité varient entre 2 475 $ et 5 888 $ selon les chevaux de Troie pris en charge.
Certains des chevaux de Troie bancaires Android pris en charge par le service incluent Alien, Cerberus, ERMAC (et son successeur MétaDroïde), Hydra et Octo, a déclaré la société de cybersécurité basée en Californie.
« La majorité des injections à forte demande sont liées aux services de paiement, y compris les services bancaires numériques et les échangeurs de crypto-monnaie », ont déclaré les chercheurs. « En novembre 2022, l’acteur a organisé une mise à jour importante de près de 144 injections améliorant leur conception visuelle. »
Le développement intervient alors que Cyble a divulgué une nouvelle opération de malware-as-a-service (MaaS) nommée Bûches de canard qui est commercialisé pour 69,99 $ pour un accès à vie, donnant aux acteurs de la menace la possibilité de récolter des informations sensibles, de détourner des transactions de crypto-monnaie et de réquisitionner à distance les machines.