Meksikos įsilaužėlis platina „Android“ bankininkystės kenkėjišką programą

Meksikiečių kilmės kibernetinis nusikaltėlis buvo nustatytas kaip pasaulinės „Android“ mobiliųjų kenkėjiškų programų kampanijos, skirtos finansų įstaigoms, vykdytojas. Kampanija, kuri vyko nuo 2021 m. birželio iki 2023 m. balandžio mėn., buvo skirta Ispanijos ir Čilės bankams.

Saugumo tyrinėtojas Polas Thillas šią veiklą priskyrė asmeniui, žinomam kaip Neo_Net. Tyrimo rezultatus paskelbė „SentinelOne“ po bendradarbiavimo su „vx-underground“ Malware Research Challenge.

Nepaisant to, kad naudojo palyginti nesudėtingus įrankius, „Neo_Net“ pasiekė didelę sėkmę pritaikydama savo infrastruktūrą konkrečioms institucijoms. Anot Thill, dėl tokio požiūrio iš aukų banko sąskaitų buvo pavogta daugiau nei 350 000 eurų ir tūkstančiams asmenų priklausanti asmens tapatybės nustatymo informacija (PII).

Žymūs bankai, įskaitant „Santander“, „BBVA“, „CaixaBank“, „Deutsche Bank“, „Crédit Agricole“ ir ING, buvo tarp pagrindinių taikinių.

Neo_Net, siejamas su ispaniškai kalbančiu asmeniu, gyvenančiu Meksikoje, įsitvirtino kaip patyręs kibernetinis nusikaltėlis. Jie užsiima sukčiavimo skydelių ir pažeistų aukų duomenų pardavimu trečiosioms šalims. Be to, jie siūlo paslaugą, vadinamą „Ankarex“, kuri skirta sukčiavimui SMS žinutėmis ir skirta kelioms pasaulio šalims.

Atakos vektorius prasideda nuo smūgio

Pradinė atakos fazė apima SMS sukčiavimą, kai grėsmės veikėjas taiko įvairias taktikas, kad apgautų gavėjus, kad jie spustelėtų netikrus nukreipimo puslapius. Šie puslapiai naudojami kredencialams rinkti ir išgauti naudojant „Telegram“ robotą.

Thillas paaiškino, kad Neo_Net sukurti sukčiavimo puslapiai yra kruopščiai sukurti naudojant jų skydelius PRIV8 ir apima daugybę apsaugos priemonių. Šios priemonės apima užklausų iš ne mobiliųjų vartotojų agentų blokavimą ir puslapių slėpimą nuo robotų ir tinklo skaitytuvų. Puslapiai labai panašūs į teisėtas bankininkystės programas, su animacijomis, sukuriančiomis įtikinamą fasadą.

Taip pat buvo pastebėta, kad grėsmės veikėjai apgaudinėja banko klientus, kad jie įdiegtų nesąžiningas „Android“ programas, užmaskuotas kaip saugos programinė įranga. Įdiegtos šios programėlės prašo SMS leidimo fiksuoti dviejų faktorių autentifikavimo (2FA) kodus, kuriuos bankas siunčia SMS žinute.