Magecart-operatörer har anpassat en populär kreditkortsskimmer så att den bara riktar sig till mobilanvändare, eftersom konsumenter gör mer av sin onlineshopping från sina smartphones än från sina datorer. Enligt en ny rapport från RiskIQ är Inter Skimmer Kit en av de vanligaste digitala skumlösningarna i världen. Olika cyberkriminella grupper har använt Inter-kitet sedan slutet av 2018 för att stjäla betalningsdata och detta påverkar tusentals sajter och konsumenter runt om i världen. I mars förra året dök en ny redigerad version av Inter upp på nätet. Magecarts operatörer modifierade det dock ytterligare för att skapa MobileInter, som endast fokuserar på mobilanvändare och riktar sig till både deras inloggningsuppgifter och betalningsdata. Medan den första iterationen av MobileInter laddade ned exfiltrerings-URL:er gömda i bilder från GitHub-arkiv, innehåller den nya versionen exfiltrerings-URL:erna i skimmerkoden och använder WebSockets för dataexfiltrering. MobileInter missbrukar också Google-domäner och spårningstjänster som efterliknar sökjätten för att dölja sig själv och dess infrastruktur.
MobileInter
Eftersom MobileInter endast riktar sig till mobilanvändare, utför den omdesignade skummaren en mängd olika kontroller för att säkerställa att den skannar en transaktion gjord på en mobil enhet. Skimmern utför först en regexkontroll mot fönsterplatsen för att avgöra om den finns på en kassasida, men den här typen av kontroll kan också ta reda på om en användares userAgent är inställd på en. Mobila webbläsare. MobileInter kontrollerar även måtten på ett webbläsarfönster för att se om det är en storlek som är kopplad till en mobil webbläsare. Efter dessa kontroller utför skummaren sin dataskumning och exfiltrering med olika andra funktioner. Vissa av dessa funktioner får namn som kan förväxlas med legitima tjänster för att undvika upptäckt. Till exempel används en funktion som heter 'rumbleSpeed' för att bestämma hur ofta en dataexfiltrering görs, även om den ska kombineras med jRumble-plugin för jQuery, som 'rumbler' element på en webbsida. Så att användaren kan fokusera på dem. RiskIQ har också identifierat MobileInter som döljer sin verksamhet på andra sätt. Sedan företaget började spåra Magecart har det observerat att hotaktörer maskerar sina domäner som legitima tjänster. Även om RiskIQs lista över MobileInter-relaterade domäner är lång, emulerar många Alibaba, Amazon och jQuery. Även om kreditkortsskimmer först dök upp i den verkliga världen på bensinstationer och andra platser där användare svepte för att betala, hittade de snabbt sin väg online och har nu gått över till mobilen.