Μεξικανός χάκερ διαδίδει κακόβουλο λογισμικό Android Banking

Μια οντότητα του κυβερνοχώρου με μεξικάνικη καταγωγή εντοπίστηκε ως ο δράστης μιας παγκόσμιας εκστρατείας κακόβουλου λογισμικού για κινητές συσκευές Android που στοχεύει σε χρηματοπιστωτικά ιδρύματα. Η εκστρατεία, η οποία έλαβε χώρα μεταξύ Ιουνίου 2021 και Απριλίου 2023, στόχευε ειδικά τις ισπανικές και τις χιλιανές τράπεζες.

Ο ερευνητής ασφάλειας Pol Thill απέδωσε τη δραστηριότητα σε ένα άτομο γνωστό ως Neo_Net. Τα ευρήματα της έρευνας δημοσιεύτηκαν από το SentinelOne μετά από μια συλλογική πρόκληση για κακόβουλο λογισμικό έρευνας με το vx-underground.

Παρά τη χρήση σχετικά μη εξελιγμένων εργαλείων, η Neo_Net έχει επιτύχει σημαντικό επίπεδο επιτυχίας προσαρμόζοντας την υποδομή της ώστε να στοχεύει συγκεκριμένα ιδρύματα. Αυτή η προσέγγιση είχε ως αποτέλεσμα την κλοπή άνω των 350.000 ευρώ από τραπεζικούς λογαριασμούς των θυμάτων και τον παραβιασμό των Προσωπικών Αναγνωριστικών Πληροφοριών (PII) που ανήκουν σε χιλιάδες άτομα, σύμφωνα με τον Thill.

Εξέχουσες τράπεζες, συμπεριλαμβανομένων των Santander, BBVA, CaixaBank, Deutsche Bank, Crédit Agricole και ING, ήταν μεταξύ των πρωταρχικών στόχων.

Ο Neo_Net, ο οποίος συνδέεται με ένα άτομο που μιλάει ισπανικά και διαμένει στο Μεξικό, έχει καθιερωθεί ως έμπειρος κυβερνοεγκληματίας. Εμπλέκονται στην πώληση πλαισίων phishing και σε κίνδυνο δεδομένων θυμάτων σε τρίτους. Επιπλέον, προσφέρουν μια υπηρεσία που ονομάζεται Ankarex, η οποία εστιάζει στο smishing (SMS phishing) και έχει σχεδιαστεί για να στοχεύει πολλές χώρες σε όλο τον κόσμο.

Το διάνυσμα επίθεσης ξεκινά με το Smishing

Η αρχική φάση της επίθεσης περιλαμβάνει το phishing μέσω SMS, στο οποίο ο παράγοντας απειλής χρησιμοποιεί διάφορες τακτικές για να εξαπατήσει τους παραλήπτες να κάνουν κλικ σε ψεύτικες σελίδες προορισμού. Αυτές οι σελίδες χρησιμοποιούνται για τη συλλογή και εξαγωγή διαπιστευτηρίων μέσω ενός bot Telegram.

Ο Thill εξήγησε ότι οι σελίδες phishing που δημιουργούνται από τη Neo_Net έχουν σχεδιαστεί σχολαστικά χρησιμοποιώντας τα πάνελ τους, το PRIV8 και ενσωματώνουν πολλαπλά αμυντικά μέτρα. Αυτά τα μέτρα περιλαμβάνουν τον αποκλεισμό αιτημάτων από πράκτορες χρηστών μη κινητών και την απόκρυψη των σελίδων από bots και δικτυακούς σαρωτές. Οι σελίδες μοιάζουν πολύ με νόμιμες τραπεζικές εφαρμογές, πλήρεις με κινούμενα σχέδια για τη δημιουργία μιας πειστικής πρόσοψης.

Οι παράγοντες της απειλής έχουν επίσης παρατηρηθεί να ξεγελούν πελάτες τραπεζών για να εγκαταστήσουν δόλιες εφαρμογές Android μεταμφιεσμένες ως λογισμικό ασφαλείας. Μόλις εγκατασταθούν, αυτές οι εφαρμογές ζητούν άδειες SMS για τη λήψη κωδικών ελέγχου ταυτότητας δύο παραγόντων (2FA) που αποστέλλονται από την τράπεζα μέσω SMS.