Di recente è stato scoperto un nuovo malware Android che ruba le informazioni di identificazione personale (PII), i dati bancari delle vittime e, in alcuni casi, riesce persino a sottrarre denaro dai loro conti bancari.
Secondo un report dell'esperto di sicurezza Pol Thill, un gruppo noto come Neo_Net sta attaccando gli account bancari di migliaia di utenti in tutto il mondo dal giugno 2021, concentrandosi soprattutto su nazioni come Spagna e Cile. Tra le banche prese di mira ci sono Santander, BBVA, CaixaBank, Deutsche Bank, Crédit Agricole e ING.
L'aggressore, che sembra operare dal Messico, ha fatto due cose: ha condotto una campagna di phishing per la raccolta di dati e ha distribuito un malware per Android progettato per rubare i codici di autenticazione a più fattori (MFA).
Secondo i ricercatori, gli aggressori hanno creato pagine di destinazione che potevano essere facilmente scambiate per siti web autentici appartenenti alle banche citate. In seguito, i truffatori hanno condotto una campagna di SMSishing, invitando le vittime a cliccare sul link contenuto nel messaggio e a inserire i propri dati personali, che gli aggressori avrebbero raccolto utilizzando un bot di Telegram.
"Le pagine di phishing sono state configurate meticolosamente utilizzando i pannelli di Neo_Net, PRIV8, e hanno implementato molteplici misure di difesa, tra cui il blocco delle richieste da parte di agenti utente non mobili e l'occultamento delle pagine dai bot e dagli scanner di rete", ha dichiarato il ricercatore nella sua relazione.
In alcuni casi, gli aggressori hanno anche indotto le vittime a scaricare applicazioni Android corrotte che sembrano software di sicurezza, ma in realtà servono solo a rubare i codici MFA. Al momento dell'installazione, le app richiedono le autorizzazioni per gli SMS.
Analisi: Perché è importante?
Ci sono due elementi importanti di questa campagna di pishing: uno - è di grande successo e due - sembra che stia utilizzando una piattaforma proprietaria di SMSishing chiamata Ankarex.
"Nonostante l'utilizzo di strumenti poco sofisticati, Neo_Net ha raggiunto un alto tasso di successo adattando la propria infrastruttura a obiettivi specifici, riuscendo a rubare oltre 350.000 euro dai conti bancari delle vittime e compromettendo le informazioni di identificazione personale (PII) di migliaia di vittime", ha dichiarato Thill nella sua analisi della campagna.
La cifra reale è molto più grande, ha aggiunto SentinelOne nel suo report, poiché le operazioni più vecchie e le transazioni che non richiedono l'autenticazione a più fattori non sono state aggiunte al conteggio.
Questa campagna specifica è stata attiva tra il giugno 2021 e l'aprile 2023, ha dichiarato il ricercatore, suggerendo che l'attore della minaccia è rimasto attivo per molto più tempo. È descritto come un "criminale informatico esperto" che non solo gestisce campagne dannose, ma vende anche strumenti e servizi sul dark web. Neo_Net è noto per aver venduto dati compromessi delle vittime e strumenti smishing-as-a-service, come il già citato Ankarex.
Come suggerisce il report, è proprio questa la piattaforma utilizzata di recente per la campagna contro gli account bancari, dato che è attiva dal maggio 2022 e al momento viene promossa attivamente sul canale Telegram di Neo_Net, che vanta circa 1.700 iscritti.
"Il servizio stesso è accessibile all'indirizzo ankarex[.]net e, una volta registrati, gli utenti possono caricare fondi utilizzando trasferimenti di criptovaluta e lanciare le proprie campagne di Smishing specificando il contenuto dell'SMS e i numeri di telefono target", ha dichiarato Thill.
Anche se l'autore della minaccia sembra concentrarsi quasi esclusivamente sulla comunità di lingua spagnola, la campagna è caratterizzata da una rete relativamente ampia. Il ricercatore afferma che Neo_Net ha attaccato i clienti di 50 istituzioni finanziarie, 30 delle quali avevano sede in Spagna o in Cile. L'elenco completo delle banche colpite è disponibile a questo link.
Che cosa hanno detto gli altri della campagna malevola?
Un articolo pubblicato su SentinelOne defubusce Neo_Net il “Kingpin dell'e-crime spagnolo”. La pubblicazione afferma che l'attore della minaccia ha un profilo GitHub pubblico con il nome "notsafety", oltre a un account Telegram dove presenta il suo lavoro. È qui che l'hacker afferma di essere il fondatore di Ankarex. Cybersecurity news riferisce che i dati sensibili rubati dall'hacker includevano numeri di telefono, numeri di identità nazionale e nomi di migliaia di vittime. I social network sono stati insolitamente silenziosi sulla notizia, tanto che su Reddit e Twitter la notizia non ha ricevuto commenti.
I trojan bancari sono abbastanza comuni nel mondo della criminalità informatica. Solo una settimana fa, i ricercatori hanno scoperto che il trojan bancario Anatsa era alla base di numerosi casi di frode confermati. Anatsa veniva distribuito tramite applicazioni Android vendute su Google Play Store, ha riferito ThreatFabric. Le applicazioni avevano più di 30.000 installazioni e prendevano di mira quasi 600 applicazioni finanziarie di tutto il mondo.
Sono state colpite vittime negli Stati Uniti, in Germania, Austria e Svizzera. Anatsa è stato scoperto per la prima volta nel 2020.
Inoltre, poiché d norma gli utenti hanno la guardia alta quando si tratta di online banking, molti dei malware dropper identificati dai ricercatori di cybersicurezza si sono presentati come visualizzatori di PDF. Dopo aver informato il Play Store delle sue scoperte, ThreatFabric ha constatato che Google ha reagito rapidamente nel rimuovere le app malevole, ma che gli attori delle minacce sono stati altrettanto rapidi nel ripubblicare applicazioni di natura simile.
Fonte: The Hacker News
