從2021年6月到2023年4月，墨西哥黑客一直在使用安卓惡意軟件攻擊全球金融機(jī)構(gòu)的，特別是西班牙和智利的銀行。

安全研究員Pol Thill表示，攻擊活動(dòng)是由一個(gè)代號(hào)為Neo_Net的黑客發(fā)起的。

Thill稱(chēng)：盡管Neo_Net使用了相對(duì)簡(jiǎn)單的工具，但根據(jù)特定目標(biāo)定制基礎(chǔ)設(shè)施，仍取得了很高的成功率，導(dǎo)致受害者銀行賬戶(hù)被盜超過(guò)35萬(wàn)歐元，并導(dǎo)致數(shù)千名受害者的個(gè)人身份信息被泄露。

該黑客的主要攻擊目標(biāo)包括桑坦德銀行、西班牙對(duì)外銀行、CaixaBank、德意志銀行、法國(guó)農(nóng)業(yè)銀行和荷蘭國(guó)際集團(tuán)等銀行。

1688524236_64a4d5cc45af1f49ea498.png!small

據(jù)悉，Neo_Net與另一名居住在墨西哥的黑客有所關(guān)聯(lián)，他們都是經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)犯罪分子，長(zhǎng)久以來(lái)一直在網(wǎng)上售賣(mài)網(wǎng)絡(luò)釣魚(yú)工具，并將受害者的數(shù)據(jù)泄露給第三方，此外還提供一種名為Ankarex的詐騙服務(wù)，該服務(wù)針對(duì)世界各地的許多國(guó)家。

多階段攻擊的初始切入點(diǎn)是短信網(wǎng)絡(luò)釣魚(yú)，在這種攻擊中，威脅行為者采用了各種恐嚇策略，誘使不知情的收件人點(diǎn)擊虛假的登陸頁(yè)面，并通過(guò)Telegram機(jī)器人獲取并泄露他們的信息。

Thill解釋說(shuō)：網(wǎng)絡(luò)釣魚(yú)工具是由Neo_Net的PRIV8精心設(shè)置的，并實(shí)施了多種防御措施，包括阻止來(lái)自非移動(dòng)用戶(hù)代理的請(qǐng)求，并將頁(yè)面隱藏在機(jī)器人和網(wǎng)絡(luò)掃描儀之外。這些頁(yè)面的設(shè)計(jì)與真正的銀行應(yīng)用程序非常相似，這些頁(yè)面里還配有動(dòng)畫(huà)，從而讓人更易信服。

這些黑客以安全軟件的名義欺騙銀行客戶(hù)安裝惡意的Android應(yīng)用程序，這些應(yīng)用程序一旦安裝，就會(huì)請(qǐng)求SMS權(quán)限來(lái)捕獲銀行發(fā)送的基于短信的雙因素認(rèn)證(2FA)代碼。

自2022年5月以來(lái)，Ankarex平臺(tái)一直處于活躍狀態(tài)，特別是在擁有約1700名訂閱用戶(hù)的Telegram頻道上得到了積極推廣。人們可以在ankarex上訪(fǎng)問(wèn)這項(xiàng)服務(wù)，注冊(cè)后用戶(hù)就可以使用加密貨幣轉(zhuǎn)賬上傳資金，并通過(guò)指定短信內(nèi)容和目標(biāo)電話(huà)號(hào)碼發(fā)起自己的詐騙活動(dòng)。

在此之前，ThreatFabric還詳細(xì)介紹了一種新的Anatsa(又名TeaBot)銀行木馬活動(dòng)，該活動(dòng)自2023年3月初以來(lái)一直針對(duì)美國(guó)、英國(guó)、德國(guó)、奧地利和瑞士的銀行客戶(hù)。