En farlig ny Android-malware forårsager kaos på verdensplan og er rettet mod store banker som Santander, BBVA, CaixaBank, Deutsche Bank, Crédit Agricole og ING.

Denne nye malware-kampagne, initieret af en trusselsaktør ved navn Neo_Net, har været aktiv siden juni 2021 og har påført intetanende ofre betydelige tab, primært i Spanien og Chile.

Neo_Net, der menes at være placeret i Mexico, anvender to primære taktikker til at udføre angrebene. For det første kører de en sofistikeret dataindsamlings-phishing-kampagne ved at lave overbevisende landingssider, der ligner legitime bankwebsteder. Gennem en snedig SMSishing-ordning lokkes ofrene til at klikke på links og levere deres personlige data, som angriberne høster ved hjælp af en Telegram-bot. Phishing-siderne er veludviklede, der bruger Neo_Nets paneler, PRIV8, og inkorporerer flere forsvarsforanstaltninger, såsom blokering af anmodninger fra ikke-mobile brugeragenter og skjule sider fra bots og netværksscannere.

Desuden narrer angriberne ofrene til at downloade ondsindede Android-apps forklædt som sikkerhedssoftware. Disse apps anmoder om SMS-tilladelser og er udelukkende designet til at stjæle multi-factor authentication (MFA) koder. Denne blanding af phishing og app-baserede angreb har givet betydelig succes, med over 350.000 EUR stjålet fra ofrenes bankkonti og tusindvis af menneskers personlige identificerbare oplysninger (PII) kompromitteret.

Det alarmerende aspekt af denne kampagne er implementeringen af ​​en proprietær SMSishing-platform kaldet Ankarex. På trods af Neo_Nets brug af relativt usofistikerede værktøjer, har platformen vist sig meget effektiv til at målrette specifikke ofre og skræddersy angrebene til deres sårbarheder. Omfanget af tab er sandsynligvis endnu større end rapporteret, da der ikke blev taget højde for ældre operationer og transaktioner uden multifaktorautentificering.

Neo_Net, beskrevet som en erfaren cyberkriminel, udfører ikke kun ondsindede kampagner, men markedsfører også værktøjer og tjenester på det mørke net. Blandt disse tilbud er Ankarex-platformen, som blev flittigt brugt i denne kampagne. Ankarex, der har været aktiv siden maj 2022, promoveres gennem Neo_Nets Telegram-kanal med omkring 1.700 abonnenter. Platformen gør det muligt for brugere at lancere deres egne SMSishing-kampagner, angive indhold og måltelefonnumre efter at have uploadet midler via cryptocurrency-overførsler.

Selvom Neo_Nets kampagne primært er rettet mod det spansktalende samfund, har den påvirket kunder fra 50 finansielle institutioner, hvoraf 30 er baseret i Spanien eller Chile. SentinelOne omtaler Neo_Net som "Kingpin af spansk e-kriminalitet" og afslører, at hackeren opretholder en offentlig GitHub-profil under navnet "notsafety" og hævder at være grundlæggeren af ​​Ankarex gennem en Telegram-konto.

Selvom banktrojanske heste ikke er ualmindelige i cyberkriminalitetens verden, skiller Neo_Net-kampagnen sig ud på grund af dens omfang og succesrate. For nylig blev Anatsa-banktrojaneren opdaget i flere tilfælde af svindel, distribueret gennem Android-apps i Google Play Butik, rettet mod finansielle applikationer globalt.

Da cybersikkerhedssamfundet reagerer på denne trussel, er det tydeligt, at årvågenhed er afgørende for at sikre sig mod sådanne sofistikerede angreb. Mens Google har været hurtig til at gribe ind over for ondsindede apps, fortsætter trusselsaktører med at tilpasse sig, hvilket gør det vigtigt for brugerne at forblive forsigtige og træffe passende sikkerhedsforanstaltninger.