Η ομάδα hacking Neo_Net στοχεύει παγκόσμιες τράπεζες με Android malware!
Ένας δράστης ηλεκτρονικού εγκλήματος μεξικανικής προέλευσης συνδέεται με κακόβουλη εκστρατεία κακόβουλου λογισμικού για κινητά Android που στοχεύει χρηματοπιστωτικά ιδρύματα σε όλο τον κόσμο, αλλά με ιδιαίτερη έμφαση στις ισπανικές και χιλιανές τράπεζες, από τον Ιούνιο του 2021 έως τον Απρίλιο του 2023.
Η δραστηριότητα αποδίδεται σε έναν απειλητικό παράγοντα με την κωδική ονομασία Neo_Net, σύμφωνα με τον ερευνητή ασφαλείας Pol Thill. Τα ευρήματα δημοσιεύτηκαν από το SentinelOne μετά από μια πρόκληση για έρευνα κακόβουλου λογισμικού σε συνεργασία με το vx-underground.
“Παρά τη χρήση σχετικά μη εξελιγμένων εργαλείων, η Neo_Net πέτυχε υψηλό ποσοστό επιτυχίας προσαρμόζοντας την υποδομή της σε συγκεκριμένους στόχους, με αποτέλεσμα την κλοπή άνω των 350.000 ευρώ από τραπεζικούς λογαριασμούς των θυμάτων και τη διακύβευση Προσωπικών Αναγνωριστικών Στοιχείων (PII) χιλιάδων θυμάτων”, δήλωσε ο Thill.
Ορισμένοι από τους σημαντικότερους στόχους περιλαμβάνουν τράπεζες όπως η Santander, η BBVA, η CaixaBank, η Deutsche Bank, η Crédit Agricole και η ING.
Η Neo_Net, η οποία συνδέεται με έναν ισπανόφωνο δράστη που διαμένει στο Μεξικό, έχει καθιερωθεί ως έμπειρος εγκληματίας στον κυβερνοχώρο, που ασχολείται με την πώληση phishing panel, την παραβίαση των δεδομένων των θυμάτων σε τρίτους και την προσφορά μιας υπηρεσίας smishing-as-a-service που ονομάζεται Ankarex και έχει σχεδιαστεί για να στοχεύει χώρες σε όλο τον κόσμο.
Το αρχικό σημείο εισόδου για την επίθεση πολλαπλών σταδίων είναι το SMS phishing, όπου ο δράστης της απειλής χρησιμοποιεί διάφορες τακτικές εκφοβισμού για να ξεγελάσει τους ανυποψίαστους παραλήπτες ώστε να κάνουν κλικ σε ψεύτικες σελίδες landing προκειμένου να συλλέξει και να κάνει exfiltrate τα credentials τους μέσω ενός bot του Telegram.
“Οι σελίδες phishing ρυθμίστηκαν σχολαστικά χρησιμοποιώντας τα πάνελ του Neo_Net, PRIV8, και εφάρμοσαν πολλαπλά μέτρα άμυνας, συμπεριλαμβανομένου του αποκλεισμού αιτημάτων από non-mobile user agents και της απόκρυψης των σελίδων από bots και network scanners”, εξήγησε ο Thill.
“Αυτές οι σελίδες σχεδιάστηκαν έτσι ώστε να μοιάζουν πολύ με γνήσιες τραπεζικές εφαρμογές, με τα animations να δημιουργούν μια πειστική βιτρίνα”.
Οι απειλητικοί φορείς έχουν επίσης παρατηρηθεί να εξαπατούν πελάτες τραπεζών και να εγκαθιστούν αθέμιτες εφαρμογές Android με το πρόσχημα του λογισμικού ασφαλείας. Μόλις εγκατασταθούν, αυτές οι εφαρμογές ζητούν δικαιώματα SMS προκειμένου να καταγράφουν τους κωδικούς ελέγχου ταυτότητας δύο παραγόντων (2FA) που αποστέλλονται από την τράπεζα.
Η πλατφόρμα Ankarex είναι ενεργή από τον Μάιο του 2022 και προωθείται ενεργά σε ένα κανάλι Telegram με περίπου 1.700 συνδρομητές.
“Η ίδια η υπηρεσία είναι προσβάσιμη στη διεύθυνση ankarex.net, και αφού εγγραφούν, οι χρήστες μπορούν να ανεβάζουν χρήματα χρησιμοποιώντας μεταφορές κρυπτονομισμάτων και να ξεκινούν τις δικές τους εκστρατείες smishing, καθορίζοντας το περιεχόμενο των SMS και των στοχευμένων αριθμών τηλεφώνου”, δήλωσε ο Thill.
Η εξέλιξη αυτή έρχεται καθώς το ThreatFabric περιγράφει λεπτομερώς μια νέα εκστρατεία banking trojan Anatsa (γνωστού και ως TeaBot) που στοχεύει τραπεζικούς πελάτες στις ΗΠΑ, το Ηνωμένο Βασίλειο, τη Γερμανία, την Αυστρία και την Ελβετία από τις αρχές Μαρτίου 2023.
Πηγή πληροφοριών: thehackernews.com
