Мексиканский хакер распространяет вредоносное ПО для Android Banking
Киберпреступник мексиканского происхождения был идентифицирован как виновник глобальной кампании вредоносных программ для мобильных устройств Android, направленной на финансовые учреждения. Кампания, которая проходила с июня 2021 года по апрель 2023 года, была специально нацелена на испанские и чилийские банки.
Исследователь безопасности Пол Тилл приписал эту активность человеку, известному как Neo_Net. Результаты исследования были опубликованы SentinelOne после совместного конкурса Malware Research Challenge с vx-underground.
Несмотря на использование относительно простых инструментов, Neo_Net добилась значительного успеха, настроив свою инфраструктуру для конкретных учреждений. По словам Тилла, этот подход привел к краже более 350 000 евро с банковских счетов жертв и компрометации личной информации (PII), принадлежащей тысячам людей.
Известные банки, в том числе Santander, BBVA, CaixaBank, Deutsche Bank, Crédit Agricole и ING, были в числе основных целей.
Neo_Net, который связан с испаноязычным человеком, проживающим в Мексике, зарекомендовал себя как опытный киберпреступник. Они занимаются продажей фишинговых панелей и скомпрометированных данных жертв третьим лицам. Кроме того, они предлагают услугу под названием Ankarex, которая фокусируется на смишинге (SMS-фишинг) и предназначена для нескольких стран мира.
Вектор атаки начинается со смишинга
Начальная фаза атаки включает SMS-фишинг, в котором субъект угрозы использует различные тактики, чтобы обманом заставить получателей перейти на поддельные целевые страницы. Эти страницы используются для сбора и извлечения учетных данных через бота Telegram.
Тилл объяснил, что фишинговые страницы, созданные Neo_Net, тщательно разработаны с использованием их панелей PRIV8 и включают множество защитных мер. Эти меры включают блокировку запросов от немобильных пользовательских агентов и сокрытие страниц от ботов и сетевых сканеров. Страницы очень похожи на законные банковские приложения, дополненные анимацией для создания убедительного фасада.
Также было замечено, что злоумышленники обманом заставляют клиентов банка устанавливать мошеннические приложения для Android, замаскированные под программное обеспечение безопасности. После установки эти приложения запрашивают разрешения по SMS для захвата кодов двухфакторной аутентификации (2FA), отправляемых банком по SMS.