L'hacker messicano diffonde malware per Android Banking

Un'entità criminale informatica con origini messicane è stata identificata come l'autore di una campagna globale di malware per dispositivi mobili Android rivolta alle istituzioni finanziarie. La campagna, che si è svolta tra giugno 2021 e aprile 2023, si è rivolta in particolare alle banche spagnole e cilene.

Il ricercatore di sicurezza Pol Thill ha attribuito l'attività a un individuo noto come Neo_Net. I risultati della ricerca sono stati pubblicati da SentinelOne dopo una Malware Research Challenge collaborativa con vx-underground.

Nonostante l'utilizzo di strumenti relativamente poco sofisticati, Neo_Net ha raggiunto un notevole livello di successo personalizzando la propria infrastruttura per rivolgersi a istituzioni specifiche. Questo approccio ha portato al furto di oltre 350.000 euro dai conti bancari delle vittime e alla compromissione di informazioni di identificazione personale (PII) appartenenti a migliaia di individui, secondo Thill.

Banche di spicco, tra cui Santander, BBVA, CaixaBank, Deutsche Bank, Crédit Agricole e ING, sono state tra gli obiettivi principali.

Neo_Net, che è associato a un individuo di lingua spagnola residente in Messico, si è affermato come un criminale informatico esperto. Si impegnano nella vendita di pannelli di phishing e dati delle vittime compromessi a terzi. Inoltre, offrono un servizio chiamato Ankarex, che si concentra sullo smishing (phishing SMS) ed è progettato per rivolgersi a più paesi in tutto il mondo.

Il vettore di attacco inizia con lo smishing

La fase iniziale dell'attacco prevede il phishing tramite SMS, in cui l'autore della minaccia utilizza varie tattiche per indurre i destinatari a fare clic su pagine di destinazione false. Queste pagine vengono utilizzate per raccogliere ed estrarre le credenziali tramite un bot di Telegram.

Thill ha spiegato che le pagine di phishing create da Neo_Net sono meticolosamente progettate utilizzando i loro pannelli, PRIV8, e incorporano molteplici misure difensive. Queste misure includono il blocco delle richieste da agenti utente non mobili e l'occultamento delle pagine da bot e scanner di rete. Le pagine ricordano da vicino applicazioni bancarie legittime, complete di animazioni per creare una facciata convincente.

Gli attori delle minacce sono stati anche osservati indurre i clienti delle banche a installare app Android fraudolente camuffate da software di sicurezza. Una volta installate, queste app richiedono autorizzazioni SMS per acquisire i codici di autenticazione a due fattori (2FA) inviati dalla banca tramite SMS.