A mexikói hacker Android banki kártevőket terjeszt

Egy mexikói származású kiberbűnözőt azonosítottak a pénzintézeteket célzó globális Android-mobil kártevők elleni kampány elkövetőjeként. A 2021 júniusa és 2023 áprilisa között zajló kampány kifejezetten a spanyol és chilei bankokat célozta meg.

Pol Thill biztonsági kutató a tevékenységet egy Neo_Net néven ismert személynek tulajdonította. A kutatási eredményeket a SentinelOne tette közzé a vx-undergroundgal közösen folytatott Malware Research Challenge program után.

Annak ellenére, hogy viszonylag kifinomult eszközöket használ, a Neo_Net jelentős sikereket ért el azáltal, hogy infrastruktúráját egyedi intézményekre szabta. Thill szerint ez a megközelítés több mint 350 000 euró ellopásához vezetett az áldozatok bankszámláiról, és több ezer magánszemélyhez tartozó személyazonosításra alkalmas adatok (PII) kompromittálásához vezetett.

A kiemelkedő bankok, köztük a Santander, a BBVA, a CaixaBank, a Deutsche Bank, a Crédit Agricole és az ING voltak az elsődleges célpontok között.

A Neo_Net, aki egy spanyolul beszélő, Mexikóban élő egyénhez kötődik, tapasztalt kiberbűnözővé vált. Adathalász paneleket és feltört áldozatadatokat értékesítenek harmadik feleknek. Ezenkívül kínálnak egy Ankarex nevű szolgáltatást, amely az adathalászatra (SMS phishing) összpontosít, és világszerte több országot céloz meg.

A Attack Vector Smishinggel kezdődik

A támadás kezdeti fázisa SMS-es adathalászatból áll, amelyben a fenyegetés szereplője különféle taktikákat alkalmaz, hogy megtévessze a címzetteket, hogy hamis nyitóoldalakra kattintsanak. Ezek az oldalak hitelesítő adatok gyűjtésére és kinyerésére szolgálnak egy Telegram bot segítségével.

Thill elmagyarázta, hogy a Neo_Net által létrehozott adathalász oldalakat aprólékosan megtervezték a paneljeik, a PRIV8 segítségével, és többféle védekező intézkedést tartalmaznak. Ezek az intézkedések magukban foglalják a nem mobil felhasználói ügynököktől érkező kérések blokkolását, valamint az oldalak elrejtését a robotok és a hálózati szkennerek elől. Az oldalak nagyon hasonlítanak a legális banki alkalmazásokhoz, animációkkal kiegészítve, amelyek meggyőző homlokzatot alkotnak.

Azt is megfigyelték, hogy a fenyegetés szereplői a banki ügyfeleket csalárd, biztonsági szoftvernek álcázott Android-alkalmazások telepítésére csalják. A telepítés után ezek az alkalmazások SMS-engedélyeket kérnek a bank által SMS-ben küldött kétfaktoros hitelesítési (2FA) kódok rögzítéséhez.