Мексиканский хакер по кличке «Neo_Net» с июня 2021 по апрель 2023 года проводил множественные кибератаки на банки разных стран, в особенности в Испании и Чили, используя вредоносное ПО для Android-устройств. Об этом сообщил исследователь безопасности Пол Тилль в недавнем отчёте компании SentinelOne, выпущенном в сотрудничестве с VX-Underground. Основным способом распространения мобильного вируса стал SMS-фишинг (смишинг), в рамках которого хакер пугал своих жертв ложными сообщениями о проблемах с их банковскими счетами и перенаправлял затем на поддельные банковские сайты, где собирал личные данные своих целей. «Фишинговые страницы были тщательно настроены с помощью панелей PRIV8, и имели несколько защитных мер, включая блокировку запросов от десктопных браузеров и скрытие страниц от ботов и сканеров сети», — объяснил Пол Тилль. «Эти страницы были разработаны так, чтобы максимально походить на настоящие банковские приложения, с анимацией и другими элементами для создания убедительной иллюзии», — добавил исследователь. Кроме того, хакер убеждал клиентов банков установить поддельные Android-приложения под видом программ безопасности, которые после установки запрашивали разрешение на доступ к SMS для перехвата кодов двухфакторной аутентификации (2FA), направляемых банком. «Несмотря на использование относительно простых инструментов, Neo_Net достиг высокой степени успеха, адаптируя свою инфраструктуру под конкретные цели, что привело к краже более 350 тысяч евро с банковских счетов жертв и компрометации личных данных тысяч из них», — объяснил Тилль. Neo_Net связывают с испаноговорящим злоумышленником, проживающим в Мексике. Он проявил себя как опытный киберпреступник, занимающийся продажей фишинговых панелей, похищенных данных жертв третьим лицам, а также предоставлением услуги Smishing-as-a-Service под названием Ankarex, предназначенной для атак на ряд стран по всему миру. Платформа Ankarex активна с мая 2022 года. Она активно продвигается в Telegram-канале хакера, который на текущий момент имеет около 1700 подписчиков. «Сам сервис доступен по адресу ankarex[.]net, и после регистрации пользователи могут пополнить свой баланс с помощью криптовалютных переводов и запускать свои собственные Smishing-кампании, указывая содержание SMS и номера телефонов целей», — рассказал специалист SentinelOne. Примечательно, что новость о деятельности Neo_Net появилась как раз на фоне недавнего отчёта исследователей ThreatFabric о новой кампании трояна Anatsa (он же TeaBot), который с начала марта 2023 года атакует клиентов банков в США, Великобритании, Германии, Австрии и Швейцарии.