Смишинг, поддельные сайты и трояны удалённого доступа помогли предприимчивому преступнику сколотить целое состояние.

Мексиканский хакер по кличке «Neo_Net» с июня 2021 по апрель 2023 года проводил множественные кибератаки на банки разных стран, в особенности в Испании и Чили, используя вредоносное ПО для Android-устройств. Об этом сообщил исследователь безопасности Пол Тилль в недавнем отчёте компании SentinelOne, выпущенном в сотрудничестве с VX-Underground.

Основным способом распространения мобильного вируса стал SMS-фишинг (смишинг), в рамках которого хакер пугал своих жертв ложными сообщениями о проблемах с их банковскими счетами и перенаправлял затем на поддельные банковские сайты, где собирал личные данные своих целей.

«Фишинговые страницы были тщательно настроены с помощью панелей PRIV8, и имели несколько защитных мер, включая блокировку запросов от десктопных браузеров и скрытие страниц от ботов и сканеров сети», — объяснил Пол Тилль.

«Эти страницы были разработаны так, чтобы максимально походить на настоящие банковские приложения, с анимацией и другими элементами для создания убедительной иллюзии», — добавил исследователь.

Кроме того, хакер убеждал клиентов банков установить поддельные Android-приложения под видом программ безопасности, которые, после установки, запрашивали разрешение на доступ к SMS для перехвата кодов двухфакторной аутентификации (2FA), отправляемых банком.

«Несмотря на использование относительно простых инструментов, Neo_Net достиг высокой степени успеха, адаптируя свою инфраструктуру под конкретные цели, что привело к краже более 350 тысяч евро с банковских счетов жертв и компрометации личных данных тысяч из них», — объяснил Тилль.

Neo_Net связывают с испаноговорящим злоумышленником, проживающим в Мексике. Он проявил себя как опытный киберпреступник, занимающийся продажей фишинговых панелей, похищенных данных жертв третьим лицам, а также предоставлением услуги Smishing-as-a-Service под названием Ankarex, предназначенной для атак на ряд стран по всему миру.

Платформа Ankarex активна с мая 2022 года. Она активно продвигается в Telegram-канале хакера, который на текущий момент имеет около 1700 подписчиков.

«Сам сервис доступен по адресу ankarex[.]net, и после регистрации пользователи могут пополнить свой баланс с помощью криптовалютных переводов и запускать свои собственные Smishing-кампании, указывая содержание SMS и номера телефонов целей», — рассказал специалист SentinelOne.

Примечательно, что новость о деятельности Neo_Net появилась как раз на фоне недавнего отчёта исследователей ThreatFabric о новой кампании трояна Anatsa (он же TeaBot), который с начала марта 2023 года атакует клиентов банков в США, Великобритании, Германии, Австрии и Швейцарии.

Источник: securitylab