Pirata informático mexicano difunde malware bancario para Android

Una entidad cibercriminal de origen mexicano ha sido identificada como autora de una campaña global de malware móvil Android dirigida a instituciones financieras. La campaña, que tuvo lugar entre junio de 2021 y abril de 2023, se dirigió específicamente a bancos españoles y chilenos.

El investigador de seguridad Pol Thill ha atribuido la actividad a un individuo conocido como Neo_Net. Los resultados de la investigación fueron publicados por SentinelOne después de un Malware Research Challenge colaborativo con vx-underground.

A pesar de usar herramientas relativamente poco sofisticadas, Neo_Net ha logrado un nivel significativo de éxito al personalizar su infraestructura para apuntar a instituciones específicas. Este enfoque ha resultado en el robo de más de 350 000 EUR de las cuentas bancarias de las víctimas y el compromiso de la información de identificación personal (PII) perteneciente a miles de personas, según Thill.

Bancos prominentes, incluidos Santander, BBVA, CaixaBank, Deutsche Bank, Crédit Agricole e ING, han estado entre los principales objetivos.

Neo_Net, quien está asociado con un individuo de habla hispana que reside en México, se ha establecido como un ciberdelincuente experimentado. Se dedican a la venta de paneles de phishing y datos de víctimas comprometidos a terceros. Además, ofrecen un servicio llamado Ankarex, que se enfoca en smishing (phishing por SMS) y está diseñado para apuntar a múltiples países en todo el mundo.

El vector de ataque comienza con Smishing

La fase inicial del ataque implica el phishing por SMS, en el que el autor de la amenaza emplea varias tácticas para engañar a los destinatarios para que hagan clic en páginas de destino falsas. Estas páginas se utilizan para recopilar y extraer credenciales a través de un bot de Telegram.

Thill explicó que las páginas de phishing creadas por Neo_Net están meticulosamente diseñadas utilizando sus paneles, PRIV8, e incorporan múltiples medidas defensivas. Estas medidas incluyen el bloqueo de solicitudes de agentes de usuarios no móviles y la ocultación de páginas de bots y escáneres de red. Las páginas se parecen mucho a las aplicaciones bancarias legítimas, completas con animaciones para crear una fachada convincente.

También se ha observado que los actores de amenazas engañan a los clientes bancarios para que instalen aplicaciones de Android fraudulentas disfrazadas de software de seguridad. Una vez instaladas, estas aplicaciones solicitan permisos de SMS para capturar códigos de autenticación de dos factores (2FA) enviados por el banco a través de SMS.