Meksikansk hacker sprer Android Banking Malware
En nettkriminell enhet med meksikansk opprinnelse har blitt identifisert som gjerningsmannen for en global Android-mobil malware-kampanje rettet mot finansinstitusjoner. Kampanjen, som fant sted mellom juni 2021 og april 2023, var spesifikt rettet mot spanske og chilenske banker.
Sikkerhetsforsker Pol Thill har tilskrevet aktiviteten til en person kjent som Neo_Net. Forskningsfunnene ble publisert av SentinelOne etter en samarbeidende Malware Research Challenge med vx-underground.
Til tross for bruk av relativt usofistikerte verktøy, har Neo_Net oppnådd en betydelig grad av suksess ved å tilpasse infrastrukturen deres for å målrette mot spesifikke institusjoner. Denne tilnærmingen har resultert i tyveri av over 350 000 EUR fra ofrenes bankkontoer og kompromittering av personlig identifiserbar informasjon (PII) som tilhører tusenvis av individer, ifølge Thill.
Fremtredende banker, inkludert Santander, BBVA, CaixaBank, Deutsche Bank, Crédit Agricole og ING, har vært blant de primære målene.
Neo_Net, som er knyttet til en spansktalende person bosatt i Mexico, har etablert seg som en erfaren nettkriminell. De driver med salg av phishing-paneler og kompromitterte offerdata til tredjeparter. I tillegg tilbyr de en tjeneste kalt Ankarex, som fokuserer på smishing (SMS-phishing) og er designet for å målrette mot flere land over hele verden.
Angrepsvektor starter med smishing
Den innledende fasen av angrepet involverer SMS-phishing, der trusselaktøren bruker ulike taktikker for å lure mottakere til å klikke på falske landingssider. Disse sidene brukes til å samle inn og trekke ut legitimasjon gjennom en Telegram-bot.
Thill forklarte at phishing-sidene laget av Neo_Net er omhyggelig utformet ved å bruke panelene deres, PRIV8, og inneholder flere defensive tiltak. Disse tiltakene inkluderer blokkering av forespørsler fra ikke-mobile brukeragenter og å skjule sidene fra roboter og nettverksskannere. Sidene ligner mye på legitime bankapplikasjoner, komplett med animasjoner for å skape en overbevisende fasade.
Trusselaktørene har også blitt observert som lurer bankkunder til å installere falske Android-apper forkledd som sikkerhetsprogramvare. Når de er installert, ber disse appene om SMS-tillatelser for å fange opp tofaktorautentiseringskoder (2FA) sendt av banken via SMS.
