Un actor del crimen electrónico de origen mexicano ha sido vinculado a una campaña de malware móvil para Android dirigida a instituciones financieras a nivel mundial, pero con un enfoque especÃfico en bancos españoles y chilenos, desde junio de 2021 hasta abril de 2023.
La actividad se atribuye a un actor con el seudónimo de Neo_Net, según el investigador de seguridad Pol Thill. Los hallazgos fueron publicados por SentinelOne después de un DesafÃo de Investigación de Malware en colaboración con vx-underground.
"A pesar de utilizar herramientas relativamente poco sofisticadas, Neo_Net ha logrado una alta tasa de éxito adaptando su infraestructura a objetivos especÃficos, lo que ha resultado en el robo de más de 350.000 EUR de las cuentas bancarias de las vÃctimas y la comprometida información de identificación personal (PII) de miles de vÃctimas", dijo Thill.
Algunos de los principales objetivos incluyen bancos como Santander, BBVA, CaixaBank, Deutsche Bank, Crédit Agricole e ING. Neo_Net, vinculado a un actor de habla hispana que reside en México, se ha establecido como un ciberdelincuente experimentado, dedicado a la venta de paneles de phishing, datos de vÃctimas comprometidos a terceros y una oferta de smishing como servicio llamada Ankarex, diseñada para atacar a varios paÃses en todo el mundo.
El punto de entrada inicial para el ataque en varias etapas es el phishing por SMS, en el que el actor de amenazas utiliza varias tácticas de engaño para engañar a los destinatarios desprevenidos y hacer que hagan clic en páginas de inicio falsas para recopilar y filtrar sus credenciales a través de un bot de Telegram. "Las páginas de phishing fueron meticulosamente configuradas utilizando los paneles de Neo_Net, PRIV8, e implementaron múltiples medidas de defensa, incluyendo el bloqueo de solicitudes de agentes de usuario que no son móviles y ocultando las páginas de los bots y los escáneres de red", explicó Thill.
"Estas páginas fueron diseñadas para parecerse estrechamente a las aplicaciones bancarias genuinas, con animaciones para crear una fachada convincente". También se ha observado que los actores de amenazas engañan a los clientes bancarios para que instalen aplicaciones de Android falsas bajo el pretexto de software de seguridad que, una vez instaladas, solicitan permisos de SMS para capturar los códigos de autenticación de dos factores (2FA) basados en SMS enviados por el banco.
Por su parte, la plataforma Ankarex ha estado activa desde mayo de 2022. Se promueve activamente en un canal de Telegram que cuenta con unos 1.700 suscriptores. "El propio servicio es accesible en ankarex[.]net y, una vez registrado, los usuarios pueden cargar fondos mediante transferencias de criptomonedas y lanzar sus propias campañas de smishing especificando el contenido de los SMS y los números de teléfono objetivo", dijo Thill.
Este desarrollo se produce mientras ThreatFabric detalló una nueva campaña del troyano bancario Anatsa (también conocido como TeaBot) que ha estado atacando a clientes
¿Quieres saber más?