セキュリティ研究者のPol Thillは、世界の銀行を標的とした一連のサイバー攻撃の黒幕が、Neo_Netとして知られるメキシコ拠点のハッカーであることを特定した。
vx-undergroundとの協力によるマルウェア研究チャレンジの後、SentinelOneが公開したThillの調査結果によると、Neo_Netは高度なAndroidマルウェアを用いて、世界中の多数の金融機関のセキュリティを侵害した。
Neo_Netのキャンペーンは2021年6月から2023年4月まで続き、各国の著名な銀行、主にスペインおよびチリの金融機関に焦点を当てていた。サイバー犯罪者の主な標的には、Santander、BBVA、CaixaBankが含まれる。
比較的洗練されていないツールを用いていたにもかかわらず、Neo_Netは目覚ましい成功を収め、被害者の銀行口座から35万ユーロ超(382,153ドル)を盗み、数千人分の個人情報を侵害した。
ハッカーの攻撃戦略は、信頼できる金融機関からの正規の連絡を装ったSMSフィッシングメッセージを配信することにあった。巧妙に作り込まれたこれらのメッセージは、被害者を欺いて機微な認証情報を明かさせた。
類似の攻撃について詳しく読む: 専門家が「SMSポンピング」詐欺の流行を警告
Neo_Netはまた、セキュリティアプリケーションを装ったAndroidトロイの木馬を開発・配布し、疑いを持たない被害者の信頼を悪用して、銀行情報へのアクセスを得た。
Thillは、Neo_Netの活動が際立っている理由として、Ankarexと呼ばれるSmishing-as-a-Serviceプラットフォームを挙げた。これによりNeo_Netは、自身のインフラを複数のアフィリエイトに貸し出すことができた。この戦略によってサイバー犯罪者は影響範囲を拡大し、さまざまな国で攻撃を成功させた。
さらにNeo_Netは、侵害した被害者データを関心のある第三者に販売することで、犯罪活動を追加で収益化した。
「彼らのキャンペーンの成功は、作戦の高度に標的化された性質に起因しており、しばしば単一の銀行に焦点を当て、その通信をコピーして銀行担当者になりすます」 とSentinelOneは記した。
「さらに、SMSスパイウェアは単純であるがゆえに、SMSメッセージの送信と閲覧の権限だけを必要とするため、検知が難しい場合がある。」
SentinelOneによると、これらのキャンペーンは、SMSに依存する場合の多要素認証(MFA)の脆弱性を浮き彫りにしており、回避に対するより良い防御を確保するために、物理トークンや外部アプリケーションなどのより堅牢な保護策の必要性を強調している。
翻訳元: https://www.infosecurity-magazine.com/news/mexico-hacker-android-malware-banks/
