メキシコのハッカーが Android バンキング マルウェアを拡散
メキシコに起源を持つサイバー犯罪組織が、金融機関を狙った世界的な Android モバイル マルウェア キャンペーンの実行犯として特定されました。このキャンペーンは2021年6月から2023年4月まで実施され、特にスペインとチリの銀行をターゲットとした。
セキュリティ研究者のポル・ティル氏は、この活動は Neo_Net として知られる個人によるものであると考えています。この調査結果は、vx-underground との共同マルウェア調査チャレンジの後、SentinelOne によって公開されました。
Neo_Net は、比較的単純なツールを使用しているにもかかわらず、特定の機関をターゲットにインフラストラクチャをカスタマイズすることで、大きな成功を収めています。ティル氏によると、このアプローチにより、被害者の銀行口座から 35 万ユーロ以上が盗まれ、数千人に属する個人識別情報 (PII) が侵害されました。
サンタンデール銀行、BBVA、カイシャ銀行、ドイツ銀行、クレディ・アグリコル、ING などの有名銀行が主な標的となっています。
Neo_Net は、メキシコ在住のスペイン語を話す個人と関係があり、経験豊富なサイバー犯罪者としての地位を確立しています。彼らは、フィッシングパネルや侵害された被害者のデータを第三者に販売しています。さらに、スミッシング (SMS フィッシング) に焦点を当て、世界中の複数の国をターゲットにするように設計された Ankarex と呼ばれるサービスも提供しています。
スミッシングから始まる攻撃ベクトル
攻撃の初期段階には SMS フィッシングが含まれ、攻撃者はさまざまな戦術を使用して受信者をだまして偽のランディング ページをクリックさせます。これらのページは、Telegram ボットを通じて資格情報を収集および抽出するために使用されます。
Thill 氏は、Neo_Net によって作成されたフィッシング ページは、パネル PRIV8 を使用して細心の注意を払って設計されており、複数の防御手段が組み込まれていると説明しました。これらの対策には、モバイル以外のユーザー エージェントからのリクエストをブロックすることや、ボットやネットワーク スキャナーからページを非表示にすることが含まれます。このページは正規の銀行アプリケーションによく似ており、説得力のある外観を作成するアニメーションが完備されています。
攻撃者は銀行顧客をだまして、セキュリティ ソフトウェアを装った不正な Android アプリをインストールさせることも観察されています。これらのアプリはインストールされると、銀行から SMS 経由で送信された 2 要素認証 (2FA) コードを取得するために SMS 権限を要求します。