Un ciberdelinqüent d’origen mexicà ha estat vinculat a una campanya de programari maliciós per mòbils dirigida a institucions financeres amb un especial focus a bancs espanyols i xilens, des de juny de 2021 fins a abril de 2023.

Que els nostres mòbils estiguin permanentment connectats a Internet ens proporciona diversos avantatges, però també té la seva contrapart. Per això no és estrany que llegim notícies sobre hackejos i programari maliciós.

És per això que hem de protegir els nostres telèfons intel·ligents amb aquestes recomanacions, a més de ser cauts a l’hora d’instal·lar aplicacions externes en les botigues no oficials. En cas contrari, estarem exposats a atacs per part de pirates informàtics que intentaran suplantar la nostra identitat, com és el cas d’aquest ciberdelinqüent mexicà.

Atacs als dispositius mòbils d’Android, des del 2021:

Un pirata informàtic d’origen mexicà amb el sobrenom Neo_Net, estaria darrere d’una sèrie d’atacs a dispositius mòbils Android que s’estén des del juny del 2021 fins a l’abril d’aquest mateix any.

Malgrat utilitzar eines relativament poc sofisticades, Neo_Net ha aconseguit una alta taxa d’èxit adaptant la seva infraestructura a objectius específics.

El seu objectiu eren Bancs de Xile i Espanya. De fet, va aconseguir accedir a milers de comptes bancaris utilitzant la coneguda tècnica del phising. Aquesta, consisteix a suplantar la identitat d’una aplicació o lloc web, fent creure a l’usuari que està introduint les seves dades personals en el lloc adequat.

En el citat període, el hacker no sols va aconseguir accedir als comptes sinó que va robar un total de 350.000 euros. Actualment, es desconeix la llista completa de bancs implicats, però a través de la xarxa social Twitter, s’han pogut esbrinar alguns d’ells: Banc Santander, BBVA, CaixaBank, ING o Deutsche Bank.

A través de missatges SMS, aquest hacker incitava a l’usuari a prémer sobre enllaços maliciosos, que portaven a webs on obtenia la informació desitjada. D’acord amb les paraules de Thill, investigador de seguretat, les pàgines van ser dissenyades per ser similars a les originals. Fins i tot mostraven animacions, la qual cosa creava una aparença força convincent.

No obstant això, aquest no era l’únic negoci de Neo_Net, perquè comptava amb un servei d’smishing on els clients podien orquestrar atacs a usuaris afegint els seus números de telèfon.

Concretament, el servei anomenat com a Ankarex, fou dissenyat per tal d’atacar a diversos països de tot el món. La plataforma en qüestió, està activa des de maig de 2022 i es promociona activament en un canal de Telegram que compta amb uns 1.700 subscriptors.

El servei en si és accessible en ankarex[.]net, i una vegada registrats, els usuaris poden carregar fons utilitzant transferències de criptodivises i llançar les seves pròpies campanyes d’Smishing especificant el contingut de l’SMS i els números de telèfon de les víctimes.

Es creu que el desenvolupament del servei es va produir quan ThreatFabric va detallar una nova campanya d’un troià bancari denominat com Anatsa o TeaBot i que ha estat apuntant a clients bancaris als EUA, el Regne Unit, Alemanya, Àustria i Suïssa des de principis de març del 2023.