墨西哥黑客傳播 Android 銀行惡意軟件

一個源自墨西哥的網絡犯罪實體已被確定為針對金融機構的全球 Android 移動惡意軟件活動的肇事者。該活動於 2021 年 6 月至 2023 年 4 月期間發生，專門針對西班牙和智利的銀行。

安全研究員 Pol Thill 將該活動歸因於一個名為 Neo_Net 的個人。該研究結果由 SentinelOne 在與 vx-underground 合作舉辦惡意軟件研究挑戰賽后發表。

儘管使用相對簡單的工具，Neo_Net 通過針對特定機構定制其基礎設施，取得了巨大的成功。 Thill 表示，這種做法已導致受害者銀行賬戶超過 35 萬歐元被盜，數千人的個人身份信息 (PII) 被洩露。

包括桑坦德銀行、西班牙對外銀行、CaixaBank、德意志銀行、法國農業信貸銀行和荷蘭國際集團在內的知名銀行都是主要目標之一。

Neo_Net 與居住在墨西哥的一名講西班牙語的人有聯繫，他已成為一名經驗豐富的網絡犯罪分子。他們從事向第三方出售網絡釣魚麵板和洩露的受害者數據的活動。此外，他們還提供一項名為 Ankarex 的服務，該服務專注於短信釣魚（短信網絡釣魚），旨在針對全球多個國家/地區。

攻擊向量從網絡釣魚開始

攻擊的初始階段涉及短信網絡釣魚，其中威脅行為者採用各種策略來欺騙收件人點擊虛假登陸頁面。這些頁面用於通過 Telegram 機器人收集和提取憑據。

Thill 解釋說，Neo_Net 創建的網絡釣魚頁面是使用其面板 PRIV8 精心設計的，並結合了多種防禦措施。這些措施包括阻止來自非移動用戶代理的請求以及對機器人和網絡掃描儀隱藏頁面。這些頁面與合法的銀行應用程序非常相似，並配有動畫以創建令人信服的外觀。

據觀察，威脅行為者還欺騙銀行客戶安裝偽裝成安全軟件的欺詐性 Android 應用程序。安裝後，這些應用程序會請求短信權限，以捕獲銀行通過短信發送的雙因素身份驗證 (2FA) 代碼。