Hacker mexicano espalha malware bancário para Android

Uma entidade cibercriminosa de origem mexicana foi identificada como perpetradora de uma campanha global de malware para dispositivos móveis Android destinada a instituições financeiras. A campanha, que decorreu entre junho de 2021 e abril de 2023, teve como alvo específico os bancos espanhóis e chilenos.

O pesquisador de segurança Pol Thill atribuiu a atividade a um indivíduo conhecido como Neo_Net. Os resultados da pesquisa foram publicados pela SentinelOne após um desafio colaborativo de pesquisa de malware com vx-underground.

Apesar de usar ferramentas relativamente pouco sofisticadas, a Neo_Net alcançou um nível significativo de sucesso ao personalizar sua infraestrutura para atingir instituições específicas. Essa abordagem resultou no roubo de mais de 350.000 euros das contas bancárias das vítimas e no comprometimento de informações de identificação pessoal (PII) pertencentes a milhares de indivíduos, de acordo com Thill.

Bancos proeminentes, incluindo Santander, BBVA, CaixaBank, Deutsche Bank, Crédit Agricole e ING, estão entre os principais alvos.

Neo_Net, que está associado a um indivíduo de língua espanhola residente no México, estabeleceu-se como um cibercriminoso experiente. Eles se envolvem na venda de painéis de phishing e dados de vítimas comprometidos para terceiros. Além disso, eles oferecem um serviço chamado Ankarex, que se concentra em smishing (SMS phishing) e é projetado para atingir vários países em todo o mundo.

O vetor de ataque começa com Smishing

A fase inicial do ataque envolve phishing por SMS, no qual o agente da ameaça emprega várias táticas para enganar os destinatários e fazê-los clicar em páginas de destino falsas. Essas páginas são usadas para coletar e extrair credenciais por meio de um bot do Telegram.

Thill explicou que as páginas de phishing criadas pela Neo_Net são meticulosamente projetadas usando seus painéis, PRIV8, e incorporam várias medidas defensivas. Essas medidas incluem bloquear solicitações de agentes de usuários não móveis e ocultar as páginas de bots e scanners de rede. As páginas se assemelham a aplicativos bancários legítimos, completos com animações para criar uma fachada convincente.

Os agentes de ameaças também foram observados enganando os clientes do banco para que instalassem aplicativos Android fraudulentos disfarçados de software de segurança. Depois de instalados, esses aplicativos solicitam permissões de SMS para capturar códigos de autenticação de dois fatores (2FA) enviados pelo banco via SMS.