Мексиканский хакер по кличке “Neo_Net” с июня 2021 по апрель 2023 года проводил множественные кибератаки на банки разных стран, в особенности в Испании и Чили, используя вредоносное ПО для Android-устройств. Об этом сообщил исследователь безопасности Пол Тилль в недавнем отчёте компании SentinelOne, выпущенном в сотрудничестве с VX-Underground.
Основным способом распространения мобильного вируса стал SMS-фишинг (смишинг), в рамках которого хакер пугал своих жертв ложными сообщениями о проблемах с их банковскими счетами и перенаправлял затем на поддельные банковские сайты, где собирал личные данные своих целей.
“Фишинговые страницы были тщательно настроены с помощью панелей PRIV8, и имели несколько защитных мер, включая блокировку запросов от десктопных браузеров и скрытие страниц от ботов и сканеров сети”, – объяснил Пол Тилль.
“Эти страницы были разработаны так, чтобы максимально походить на настоящие банковские приложения, с анимацией и другими элементами для создания убедительной иллюзии”, – добавил исследователь.
Кроме того, хакер убеждал клиентов банков установить поддельные Android-приложения под видом программ безопасности, которые после установки запрашивали разрешение на доступ к SMS для перехвата кодов двухфакторной аутентификации (2FA), направляемых банком.
“Несмотря на использование относительно простых инструментов, Neo_Net достиг высокой степени успеха, адаптируя свою инфраструктуру под конкретные цели, что привело к краже более 350 тысяч евро с банковских счетов жертв и компрометации личных данных тысяч из них”, – объяснил Тилль.
Neo_Net связывают с испаноговорящим злоумышленником, проживающим в Мексике. Он проявил себя как опытный киберпреступник, занимающийся продажей фишинговых панелей, похищенных данных жертв третьим лицам, а также предоставлением услуги Smishing-as-a-Service под названием Ankarex, предназначенной для атак на ряд стран по всему миру.
Платформа Ankarex активна с мая 2022 года. Она активно продвигается в Telegram-канале хакера, который на текущий момент имеет около 1700 подписчиков.
“Сам сервис доступен по адресу ankarex[.]net, и после регистрации пользователи могут пополнить свой баланс с помощью криптовалютных переводов и запускать свои собственные Smishing-кампании, указывая содержание SMS и номера телефонов целей”, – рассказал специалист SentinelOne.
Примечательно, что новость о деятельности Neo_Net появилась как раз на фоне недавнего отчёта исследователей ThreatFabric о новой кампании трояна Anatsa (он же TeaBot), который с начала марта 2023 года атакует клиентов банков в США, Великобритании, Германии, Австрии и Швейцарии.