Un pirata informático de procedencia mexicana ha sido vinculado a una campaña de malware móvil Android dirigida a instituciones financieras a nivel mundial, pero con un enfoque específico en bancos españoles y chilenos, desde junio de 2021 hasta abril de 2023.
La actividad se atribuye a un pirata informático cuyo nombre en código es Neo_Net , según el investigador de seguridad Pol Thill. Los hallazgos fueron publicados por SentinelOne luego de un Malware Research Challenge en colaboración con vx-underground.
«A pesar de usar herramientas relativamente poco sofisticadas, Neo_Net ha logrado una alta tasa de éxito al adaptar su infraestructura a objetivos específicos, lo que resultó en el robo de más de 350 000 EUR de las cuentas bancarias de las víctimas y comprometió la información de identificación personal (PII) de miles de víctimas», dijo Thill. dijo .
Algunos de los principales objetivos del pirata informático incluyen bancos como Santander, BBVA, CaixaBank, Deutsche Bank, Crédit Agricole e ING.
Neo_Net, vinculado a un pirata informático de habla hispana que reside en México, se ha establecido como un ciberdelincuente experimentado, participando en la venta de paneles de phishing, datos de víctimas comprometidos a terceros y una oferta de smishing como servicio llamada Ankarex que es diseñado para dirigirse a una serie de países de todo el mundo.
El punto de entrada inicial para el ataque de varias etapas es el phishing por SMS, en el que el actor de la amenaza emplea varias tácticas de miedo para engañar a los destinatarios involuntarios para que hagan clic en páginas de destino falsas para recolectar y exfiltrar sus credenciales a través de un bot de Telegram.
«Las páginas de phishing se configuraron meticulosamente utilizando los paneles de Neo_Net, PRIV8, e implementaron múltiples medidas de defensa, incluido el bloqueo de solicitudes de agentes de usuarios no móviles y la ocultación de las páginas de bots y escáneres de red», explicó Thill.
«Estas páginas fueron diseñadas para parecerse mucho a las aplicaciones bancarias genuinas, completas con animaciones para crear una fachada convincente».
También se ha observado que los piratas informáticos engañan a los clientes bancarios para que instalen aplicaciones de Android no autorizadas bajo la apariencia de un software de seguridad que, una vez instalado, solicita permisos de SMS para capturar códigos de autenticación de dos factores (2FA) basados en SMS enviados por el banco.
La plataforma Ankarex, por su parte, está activa desde mayo de 2022. Se promociona activamente en un canal de Telegram que tiene unos 1.700 suscriptores.
«Se puede acceder al servicio en sí mismo en ankarex[.]net y, una vez registrados, los usuarios pueden cargar fondos mediante transferencias de criptomonedas y lanzar sus propias campañas de Smishing especificando el contenido del SMS y los números de teléfono de destino», dijo Thill.
El desarrollo se produce cuando ThreatFabric detalló una nueva campaña de troyano bancario Anatsa (también conocido como TeaBot) que se ha dirigido a clientes bancarios en los EE. UU., Reino Unido, Alemania, Austria y Suiza desde principios de marzo de 2023.
¿Un pirata informático puede crear un malware para Android?
Los teléfonos pueden contraer muchos tipos de malware, desde caballos de Troya hasta spyware.
El malware móvil que a menudo confundimos con virus son principalmente caballos de Troya, spyware, y gusanos. Los gusanos son los más parecidos a los virus ya que pueden propagarse. Sin embargo, no necesitan un programa anfitrión. Después de entrar en tu teléfono, pueden causar daño activamente sin que abras nada. En cuanto a los caballos de Troya, no pueden autoejecutarse, ni pueden replicarse. El malware suele ser una puerta de entrada para que sus desarrolladores roben información rentable.
¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter y LinkedIn para leer más contenido que publicamos o contáctanos.