MobileInter
MobileInter est une nouvelle incarnation du code Inter skimmer, une fonctionnalité extrêmement populaire parmi les acteurs de la menace Magecart. Les créateurs de MobileInter ont utilisé Inter comme base, mais ont encore modifié et étendu ses fonctionnalités pour mieux répondre à leurs objectifs particuliers. En effet, MobileInter est utilisé uniquement contre les utilisateurs mobiles. Compte tenu du volume considérable de dépenses en ligne effectuées sur les appareils mobiles, il n'est pas étonnant que les gangs Magecart ajustent également leurs opérations pour l'exploiter.
Caractéristiques de MobileInter
Les principaux aspects de MobileInter sont l'accent mis sur les utilisateurs mobiles et la possibilité de collecter des informations de connexion et des données de paiement. Pendant que les chercheurs de RiskIQ traquaient la menace, ils ont observé une évolution certaine dans les techniques utilisées pour l'exfiltration et l'anti-détection des données.
Les premières variantes de MobileInter récupéraient les images de GitHub contenant les URL d'exfiltration. Les itérations ultérieures ont abandonné les référentiels GitHub et ont commencé à transporter les URL d'exfiltration dans leur code de skimmer. De plus, les dernières versions de MobileInter utilisent WebSockets pour le téléchargement des données.
Comme l'acteur de la menace derrière MobileInter souhaite cibler uniquement les utilisateurs mobiles, il a équipé son outil de malware de plusieurs tests conçus pour déterminer si les transactions de paiement sont effectuées sur un appareil approprié. Pour commencer, la menace effectue une vérification de l'expression régulière par rapport à l'emplacement de la fenêtre pour déterminer si une page de paiement est actuellement ouverte. Ensuite, la même vérification d'expression régulière essaie également de voir si l'agent utilisateur est défini pour l'un des nombreux navigateurs mobiles. MobileInter suit également les dimensions de la fenêtre du navigateur et les fait correspondre à ce qui est attendu pour un navigateur mobile. Si les contrôles renvoient un résultat positif, le malware procède à l'écrémage des données ciblées et les exfiltre à travers une série de fonctions.
Techniques d'évasion
Pour masquer ses activités néfastes, MobileInter donne les noms de ses fonctions qui imitent ceux de services légitimes. Par exemple, la fonction « rumbleSpeed », qui détermine la vitesse à laquelle l'exfiltration des données est effectuée, est conçue pour apparaître dans le cadre du plugin jRumble pour jQuery.
Quant aux domaines employés dans l'opération, ils utilisent eux aussi des services légitimes comme déguisements. Parmi les nombreux domaines liés à la menace, certains se font passer pour jQuery, Amazon, Alibaba, etc. Les opérations MobileInter les plus récentes sont entièrement calquées sur les services Google, y compris les URL d'exfiltration et l'URL WebSocket qui se masque en tant que Google Tag Manager.
