Un actor de cibercrimen de origen mexicano ha sido vinculado a una campaña de malware móvil para Android dirigida a instituciones financieras a nivel global, pero con un enfoque específico en bancos españoles y chilenos, desde junio de 2021 hasta abril de 2023.
La actividad se atribuye a un actor apodado Neo_Net, según el investigador de seguridad Pol Thill. Los hallazgos fueron publicados por SentinelOne después de un Desafío de Investigación de Malware en colaboración con vx-underground.
«A pesar de utilizar herramientas relativamente poco sofisticadas, Neo_Net ha logrado una alta tasa de éxito adaptando su infraestructura a objetivos específicos, lo que ha resultado en el robo de más de 350.000 euros de las cuentas bancarias de las víctimas y la compromiso de la información de identificación personal (PII) de miles de personas», dijo Thill.
Algunos de los principales objetivos incluyen bancos como Santander, BBVA, CaixaBank, Deutsche Bank, Crédit Agricole e ING.
Neo_Net, vinculado a un actor de habla hispana residente en México, se ha establecido como un cibercriminal experimentado, participando en la venta de paneles de phishing, datos de víctimas comprometidos a terceros y ofreciendo un servicio de smishing llamado Ankarex, diseñado para apuntar a varios países en todo el mundo.
El punto de entrada inicial para el ataque de múltiples etapas es el phishing por SMS, en el cual el actor de amenazas utiliza diversas tácticas de intimidación para engañar a los destinatarios desprevenidos y hacer que hagan clic en páginas de inicio falsas para recopilar y filtrar sus credenciales a través de un bot de Telegram.
«Las páginas de phishing fueron meticulosamente configuradas utilizando los paneles de Neo_Net, PRIV8, e implementaron múltiples medidas de defensa, incluyendo el bloqueo de solicitudes de agentes de usuario que no sean móviles y ocultando las páginas de los bots y escáneres de red», explicó Thill.
«Estas páginas fueron diseñadas para parecerse mucho a las aplicaciones bancarias genuinas, con animaciones para crear una fachada convincente».
También se ha observado a los actores de amenazas engañando a los clientes bancarios para que instalen aplicaciones Android falsas bajo la apariencia de software de seguridad que, una vez instaladas, solicitan permisos de SMS para capturar códigos de autenticación de dos factores (2FA) basados en SMS enviados por el banco.
Por su parte, la plataforma Ankarex ha estado activa desde mayo de 2022. Se promociona activamente en un canal de Telegram que cuenta con aproximadamente 1.700 suscriptores.
«El servicio en sí está accesible en ankarex[.]net, y una vez registrado, los usuarios pueden cargar fondos utilizando transferencias de criptomonedas y lanzar sus propias campañas de smishing especificando el contenido del SMS y los números de teléfono objetivo», dijo Thill.
Este desarrollo se produce mientras ThreatFabric detalló una nueva campaña del troyano bancario Anatsa (también conocido como TeaBot) que ha estado dirigiéndose a clientes bancarios en Estados Unidos, Reino Unido, Alemania, Austria y Suiza desde principios de marzo de 2023.
Fuente: Ravie Lakshmanan