Mexicansk hacker spreder Android Banking Malware
En cyberkriminel enhed med mexicansk oprindelse er blevet identificeret som gerningsmanden til en global Android-mobil malware-kampagne rettet mod finansielle institutioner. Kampagnen, der fandt sted mellem juni 2021 og april 2023, var specifikt rettet mod spanske og chilenske banker.
Sikkerhedsforsker Pol Thill har tilskrevet aktiviteten til en person kendt som Neo_Net. Forskningsresultaterne blev publiceret af SentinelOne efter en samarbejdende Malware Research Challenge med vx-underground.
På trods af brugen af relativt usofistikerede værktøjer, har Neo_Net opnået en betydelig grad af succes ved at tilpasse deres infrastruktur til at målrette mod specifikke institutioner. Denne tilgang har resulteret i tyveri af over 350.000 EUR fra ofres bankkonti og kompromittering af personlig identificerbar information (PII) tilhørende tusindvis af individer, ifølge Thill.
Fremtrædende banker, herunder Santander, BBVA, CaixaBank, Deutsche Bank, Crédit Agricole og ING, har været blandt de primære mål.
Neo_Net, som er tilknyttet en spansktalende person bosat i Mexico, har etableret sig som en erfaren cyberkriminel. De engagerer sig i salg af phishing-paneler og kompromitterede ofredata til tredjeparter. Derudover tilbyder de en tjeneste kaldet Ankarex, som fokuserer på smishing (SMS-phishing) og er designet til at målrette mod flere lande verden over.
Angrebsvektor starter med smishing
Den indledende fase af angrebet involverer SMS-phishing, hvor trusselsaktøren anvender forskellige taktikker for at narre modtagere til at klikke på falske landingssider. Disse sider bruges til at indsamle og udtrække legitimationsoplysninger gennem en Telegram-bot.
Thill forklarede, at phishing-siderne skabt af Neo_Net er omhyggeligt designet ved hjælp af deres paneler, PRIV8, og inkorporerer flere defensive foranstaltninger. Disse foranstaltninger omfatter blokering af anmodninger fra ikke-mobile brugeragenter og skjulning af siderne fra bots og netværksscannere. Siderne minder meget om legitime bankapplikationer, komplet med animationer for at skabe en overbevisende facade.
Trusselsaktørerne er også blevet observeret i at narre bankkunder til at installere svigagtige Android-apps forklædt som sikkerhedssoftware. Når de er installeret, anmoder disse apps om SMS-tilladelser til at fange to-faktor-godkendelseskoder (2FA) sendt af banken via SMS.
