Meksykański haker rozprzestrzenia złośliwe oprogramowanie bankowe na Androida

Cyberprzestępca o meksykańskich korzeniach został zidentyfikowany jako sprawca globalnej kampanii mobilnego szkodliwego oprogramowania dla Androida wymierzonej w instytucje finansowe. Kampania, która miała miejsce między czerwcem 2021 a kwietniem 2023 roku, była skierowana konkretnie do banków hiszpańskich i chilijskich.

Badacz bezpieczeństwa Pol Thill przypisał tę aktywność osobie znanej jako Neo_Net. Wyniki badań zostały opublikowane przez SentinelOne po wspólnym konkursie Malware Research Challenge z vx-underground.

Pomimo korzystania ze stosunkowo prostych narzędzi, Neo_Net osiągnął znaczny sukces, dostosowując swoją infrastrukturę do konkretnych instytucji. Według Thill, podejście to doprowadziło do kradzieży ponad 350 000 EUR z kont bankowych ofiar i ujawnienia informacji umożliwiających identyfikację osób (PII) należących do tysięcy osób.

Głównymi celami były znane banki, w tym Santander, BBVA, CaixaBank, Deutsche Bank, Crédit Agricole i ING.

Neo_Net, który jest powiązany z hiszpańskojęzyczną osobą mieszkającą w Meksyku, dał się poznać jako doświadczony cyberprzestępca. Angażują się w sprzedaż stronom trzecim paneli phishingowych i skompromitowanych danych ofiar. Ponadto oferują usługę o nazwie Ankarex, która koncentruje się na smishingu (phishing SMS) i jest przeznaczona do atakowania wielu krajów na całym świecie.

Wektor Ataku Zaczyna Smishing

Początkowa faza ataku polega na phishingu SMS-owym, w którym cyberprzestępca stosuje różne taktyki, aby nakłonić odbiorców do kliknięcia fałszywych stron docelowych. Strony te służą do zbierania i wyodrębniania poświadczeń za pośrednictwem bota Telegram.

Thill wyjaśnił, że strony phishingowe stworzone przez Neo_Net są skrupulatnie zaprojektowane przy użyciu ich paneli PRIV8 i zawierają wiele środków obronnych. Środki te obejmują blokowanie żądań od niemobilnych programów klienckich oraz ukrywanie stron przed botami i skanerami sieciowymi. Strony bardzo przypominają legalne aplikacje bankowe, wraz z animacjami, które tworzą przekonującą fasadę.

Zaobserwowano również, że cyberprzestępcy nakłaniali klientów banków do instalowania oszukańczych aplikacji na Androida udających oprogramowanie zabezpieczające. Po zainstalowaniu te aplikacje żądają uprawnień SMS do przechwytywania kodów uwierzytelniania dwuskładnikowego (2FA) wysyłanych przez bank SMS-em.