05/07/23
Мексиканский хакер по кличке «Neo_Net» с июня 2021 по апрель 2023 года проводил множественные кибератаки на банки разных стран, в особенности в Испании и Чили, используя вредоносное ПО для Android-устройств. Об этом сообщил исследователь безопасности Пол Тилль в недавнем отчёте компании SentinelOne, выпущенном в сотрудничестве с VX-Underground.
Основным способом распространения мобильного вируса стал SMS-фишинг (смишинг), в рамках которого хакер пугал своих жертв ложными сообщениями о проблемах с их банковскими счетами и перенаправлял затем на поддельные банковские сайты, где собирал личные данные своих целей. Об этом пишет Securitylab.
«Фишинговые страницы были тщательно настроены с помощью панелей PRIV8, и имели несколько защитных мер, включая блокировку запросов от десктопных браузеров и скрытие страниц от ботов и сканеров сети», — объяснил Пол Тилль.
«Эти страницы были разработаны так, чтобы максимально походить на настоящие банковские приложения, с анимацией и другими элементами для создания убедительной иллюзии», — добавил исследователь.
Кроме того, хакер убеждал клиентов банков установить поддельные Android-приложения под видом программ безопасности, которые после установки запрашивали разрешение на доступ к SMS для перехвата кодов двухфакторной аутентификации (2FA), направляемых банком.
«Несмотря на использование относительно простых инструментов, Neo_Net достиг высокой степени успеха, адаптируя свою инфраструктуру под конкретные цели, что привело к краже более 350 тысяч евро с банковских счетов жертв и компрометации личных данных тысяч из них», — объяснил Тилль.
Neo_Net связывают с испаноговорящим злоумышленником, проживающим в Мексике. Он проявил себя как опытный киберпреступник, занимающийся продажей фишинговых панелей, похищенных данных жертв третьим лицам, а также предоставлением услуги Smishing-as-a-Service под названием Ankarex, предназначенной для атак на ряд стран по всему миру.
Платформа Ankarex активна с мая 2022 года. Она активно продвигается в Telegram-канале хакера, который на текущий момент имеет около 1700 подписчиков.
«Сам сервис доступен по адресу ankarex[.]net, и после регистрации пользователи могут пополнить свой баланс с помощью криптовалютных переводов и запускать свои собственные Smishing-кампании, указывая содержание SMS и номера телефонов целей», — рассказал специалист SentinelOne.
