Un actor de delitos electrónicos de procedencia mexicana ha sido vinculado a una campaña de malware móvil Android dirigida a instituciones financieras a nivel mundial, pero con un enfoque específico en bancos españoles y chilenos, desde junio de 2021 hasta abril de 2023.
La actividad se atribuye a un actor cuyo nombre en código Neo_Net, según el investigador de seguridad Pol Thill. Los hallazgos fueron publicados por SentinelOne luego de un Malware Research Challenge en colaboración con vx-underground.
«A pesar de usar herramientas relativamente poco sofisticadas, Neo_Net ha logrado una alta tasa de éxito al adaptar su infraestructura a objetivos específicos, lo que resultó en el robo de más de 350 000 EUR de las cuentas bancarias de las víctimas y comprometió la información de identificación personal (PII) de miles de víctimas», dijo Thill. dicho.
Algunos de los principales objetivos incluyen bancos como Santander, BBVA, CaixaBank, Deutsche Bank, Crédit Agricole e ING.
Neo_Net, vinculado a un actor de habla hispana que reside en México, se ha establecido como un ciberdelincuente experimentado, participando en la venta de paneles de phishing, datos de víctimas comprometidos a terceros y una oferta de smishing como servicio llamada Ankarex que es diseñado para dirigirse a una serie de países de todo el mundo.
El punto de entrada inicial para el ataque de varias etapas es el phishing por SMS, en el que el actor de la amenaza emplea varias tácticas de miedo para engañar a los destinatarios involuntarios para que hagan clic en páginas de destino falsas para recolectar y exfiltrar sus credenciales a través de un bot de Telegram.
«Las páginas de phishing se configuraron meticulosamente utilizando los paneles de Neo_Net, PRIV8, e implementaron múltiples medidas de defensa, incluido el bloqueo de solicitudes de agentes de usuarios no móviles y la ocultación de las páginas de bots y escáneres de red», explicó Thill.
«Estas páginas fueron diseñadas para parecerse mucho a las aplicaciones bancarias genuinas, completas con animaciones para crear una fachada convincente».
También se ha observado que los actores de amenazas engañan a los clientes bancarios para que instalen aplicaciones de Android no autorizadas bajo la apariencia de un software de seguridad que, una vez instalado, solicita permisos de SMS para capturar códigos de autenticación de dos factores (2FA) basados en SMS enviados por el banco.
La plataforma Ankarex, por su parte, está activa desde mayo de 2022. Se promociona activamente en un canal de Telegram que tiene unos 1.700 suscriptores.
«El servicio en sí es accesible en ankarex[.]net, y una vez registrados, los usuarios pueden cargar fondos mediante transferencias de criptomonedas y lanzar sus propias campañas de Smishing especificando el contenido del SMS y los números de teléfono de destino», dijo Thill.
El desarrollo se produce cuando ThreatFabric detalló una nueva campaña de troyano bancario Anatsa (también conocido como TeaBot) que se ha dirigido a clientes bancarios en los EE. UU., Reino Unido, Alemania, Austria y Suiza desde principios de marzo de 2023.