Un acteur de la cybercriminalité d’origine mexicaine a été associé à une campagne de logiciels malveillants mobiles Android ciblant les institutions financières du monde entier, mais plus particulièrement les banques espagnoles et chiliennes, entre juin 2021 et avril 2023.
Cette activité est attribuée à un acteur dont le nom de code est Neo_Net, selon le chercheur en sécurité Pol Thill. Les résultats ont été publiés par SentinelOne à la suite d’un concours de recherche sur les logiciels malveillants en collaboration avec vx-underground.
« Malgré l’utilisation d’outils relativement peu sophistiqués, Neo_Net a obtenu un taux de réussite élevé en adaptant son infrastructure à des cibles spécifiques, ce qui a permis de voler plus de 350 000 euros sur les comptes bancaires des victimes et de compromettre les informations personnelles identifiables (PII) de milliers de victimes », a déclaré Pol Thill.
Parmi les principales cibles figurent des banques telles que Santander, BBVA, CaixaBank, Deutsche Bank, Crédit Agricole et ING.
Neo_Net, lié à un acteur hispanophone résidant au Mexique, s’est imposé comme un cybercriminel chevronné, se livrant à la vente de panneaux d’hameçonnage, de données de victimes compromises à des tiers et d’une offre d’hameçonnage en tant que service appelée Ankarex, conçue pour cibler un certain nombre de pays à travers le monde.
Le point d’entrée initial de l’attaque en plusieurs étapes est le phishing par SMS, dans lequel l’acteur de la menace utilise diverses tactiques d’effarouchement pour inciter les destinataires involontaires à cliquer sur de fausses pages d’atterrissage afin de récolter et d’exfiltrer leurs informations d’identification via un bot Telegram.
« Les pages de phishing ont été méticuleusement configurées à l’aide des panels de Neo_Net – PRIV8 – et ont mis en œuvre de multiples mesures de défense, y compris le blocage des requêtes provenant d’agents utilisateurs non mobiles et la dissimulation des pages aux robots et aux scanners de réseau », a expliqué Thill. « Ces pages ont été conçues pour ressembler étroitement à des applications bancaires authentiques, avec des animations pour créer une façade convaincante.
Les acteurs de la menace ont également été observés en train de duper les clients des banques en installant des applications Android malveillantes sous l’apparence d’un logiciel de sécurité qui, une fois installé, demande des autorisations par SMS pour capturer les codes d’authentification à deux facteurs (2FA) par SMS envoyés par la banque.
La plateforme Ankarex, quant à elle, est active depuis mai 2022 et fait l’objet d’une promotion active sur un canal Telegram qui compte environ 1 700 abonnés. « Le service lui-même est accessible à l’adresse ankarex[.]net ; et une fois enregistrés, les utilisateurs peuvent télécharger des fonds en utilisant des transferts de crypto-monnaie et lancer leurs propres campagnes de Smishing en spécifiant le contenu du SMS et les numéros de téléphone ciblés », a déclaré M. Thill.
Ce développement intervient alors que ThreatFabric a détaillé une nouvelle campagne de trojan bancaire Anatsa (alias TeaBot) qui a ciblé des clients bancaires aux États-Unis, au Royaume-Uni, en Allemagne, en Autriche et en Suisse depuis le début du mois de mars 2023.
Pour en savoir plus: