Un hacker mexicain propage un logiciel malveillant Android Banking
Une entité cybercriminelle d'origine mexicaine a été identifiée comme l'auteur d'une campagne mondiale de logiciels malveillants mobiles Android visant les institutions financières. La campagne, qui s'est déroulée entre juin 2021 et avril 2023, ciblait spécifiquement les banques espagnoles et chiliennes.
Le chercheur en sécurité Pol Thill a attribué l'activité à un individu connu sous le nom de Neo_Net. Les résultats de la recherche ont été publiés par SentinelOne après un Malware Research Challenge collaboratif avec vx-underground.
Malgré l'utilisation d'outils relativement peu sophistiqués, Neo_Net a atteint un niveau de succès significatif en personnalisant son infrastructure pour cibler des institutions spécifiques. Cette approche a entraîné le vol de plus de 350 000 EUR sur les comptes bancaires des victimes et la compromission d'informations personnelles identifiables (PII) appartenant à des milliers de personnes, selon Thill.
Des banques de premier plan, dont Santander, BBVA, CaixaBank, Deutsche Bank, Crédit Agricole et ING, ont été parmi les principales cibles.
Neo_Net, qui est associé à une personne hispanophone résidant au Mexique, s'est imposé comme un cybercriminel expérimenté. Ils se livrent à la vente de panneaux de phishing et de données de victimes compromises à des tiers. De plus, ils offrent un service appelé Ankarex, qui se concentre sur le smishing (hameçonnage par SMS) et est conçu pour cibler plusieurs pays dans le monde.
Le vecteur d'attaque commence par le smishing
La phase initiale de l'attaque implique le phishing par SMS, dans lequel l'auteur de la menace emploie diverses tactiques pour inciter les destinataires à cliquer sur de fausses pages de destination. Ces pages sont utilisées pour collecter et extraire les informations d'identification via un bot Telegram.
Thill a expliqué que les pages de phishing créées par Neo_Net sont méticuleusement conçues à l'aide de leurs panneaux, PRIV8, et intègrent de multiples mesures défensives. Ces mesures incluent le blocage des requêtes des agents utilisateurs non mobiles et le masquage des pages des robots et des scanners de réseau. Les pages ressemblent étroitement à des applications bancaires légitimes, complétées par des animations pour créer une façade convaincante.
Les acteurs de la menace ont également été observés incitant les clients des banques à installer des applications Android frauduleuses déguisées en logiciels de sécurité. Une fois installées, ces applications demandent des autorisations SMS pour capturer les codes d'authentification à deux facteurs (2FA) envoyés par la banque via SMS.