墨西哥黑客传播 Android 银行恶意软件
一个源自墨西哥的网络犯罪实体已被确定为针对金融机构的全球 Android 移动恶意软件活动的肇事者。该活动于 2021 年 6 月至 2023 年 4 月期间发生,专门针对西班牙和智利的银行。
安全研究员 Pol Thill 将该活动归因于一个名为 Neo_Net 的个人。该研究结果由 SentinelOne 在与 vx-underground 合作举办恶意软件研究挑战赛后发表。
尽管使用相对简单的工具,Neo_Net 通过针对特定机构定制其基础设施,取得了巨大的成功。 Thill 表示,这种做法已导致受害者银行账户超过 35 万欧元被盗,数千人的个人身份信息 (PII) 被泄露。
包括桑坦德银行、西班牙对外银行、CaixaBank、德意志银行、法国农业信贷银行和荷兰国际集团在内的知名银行都是主要目标之一。
Neo_Net 与居住在墨西哥的一名讲西班牙语的人有联系,他已成为一名经验丰富的网络犯罪分子。他们从事向第三方出售网络钓鱼面板和泄露的受害者数据的活动。此外,他们还提供一项名为 Ankarex 的服务,该服务专注于短信钓鱼(短信网络钓鱼),旨在针对全球多个国家/地区。
攻击向量从网络钓鱼开始
攻击的初始阶段涉及短信网络钓鱼,其中威胁行为者采用各种策略来欺骗收件人点击虚假登陆页面。这些页面用于通过 Telegram 机器人收集和提取凭据。
Thill 解释说,Neo_Net 创建的网络钓鱼页面是使用其面板 PRIV8 精心设计的,并结合了多种防御措施。这些措施包括阻止来自非移动用户代理的请求以及对机器人和网络扫描仪隐藏页面。这些页面与合法的银行应用程序非常相似,并配有动画以创建令人信服的外观。
据观察,威胁行为者还欺骗银行客户安装伪装成安全软件的欺诈性 Android 应用程序。安装后,这些应用程序会请求短信权限,以捕获银行通过短信发送的双因素身份验证 (2FA) 代码。