從2021年6月到2023年4月，墨西哥黑客一直在使用安卓惡意軟件攻擊全球金融機(jī)構(gòu)的，特別是西班牙和智利的銀行。

安全研究員Pol Thill表示，攻擊活動是由一個代號為Neo_Net的黑客發(fā)起的。

Thill稱：盡管Neo_Net使用了相對簡單的工具，但根據(jù)特定目標(biāo)定制基礎(chǔ)設(shè)施，仍取得了很高的成功率，導(dǎo)致受害者銀行賬戶被盜超過35萬歐元，并導(dǎo)致數(shù)千名受害者的個人身份信息被泄露。

該黑客的主要攻擊目標(biāo)包括桑坦德銀行、西班牙對外銀行、CaixaBank、德意志銀行、法國農(nóng)業(yè)銀行和荷蘭國際集團(tuán)等銀行。

1688524236_64a4d5cc45af1f49ea498.png!small

據(jù)悉，Neo_Net與另一名居住在墨西哥的黑客有所關(guān)聯(lián)，他們都是經(jīng)驗豐富的網(wǎng)絡(luò)犯罪分子，長久以來一直在網(wǎng)上售賣網(wǎng)絡(luò)釣魚工具，并將受害者的數(shù)據(jù)泄露給第三方，此外還提供一種名為Ankarex的詐騙服務(wù)，該服務(wù)針對世界各地的許多國家。

多階段攻擊的初始切入點是短信網(wǎng)絡(luò)釣魚，在這種攻擊中，威脅行為者采用了各種恐嚇策略，誘使不知情的收件人點擊虛假的登陸頁面，并通過Telegram機(jī)器人獲取并泄露他們的信息。

Thill解釋說：網(wǎng)絡(luò)釣魚工具是由Neo_Net的PRIV8精心設(shè)置的，并實施了多種防御措施，包括阻止來自非移動用戶代理的請求，并將頁面隱藏在機(jī)器人和網(wǎng)絡(luò)掃描儀之外。這些頁面的設(shè)計與真正的銀行應(yīng)用程序非常相似，這些頁面里還配有動畫，從而讓人更易信服。

這些黑客以安全軟件的名義欺騙銀行客戶安裝惡意的Android應(yīng)用程序，這些應(yīng)用程序一旦安裝，就會請求SMS權(quán)限來捕獲銀行發(fā)送的基于短信的雙因素認(rèn)證(2FA)代碼。

自2022年5月以來，Ankarex平臺一直處于活躍狀態(tài)，特別是在擁有約1700名訂閱用戶的Telegram頻道上得到了積極推廣。人們可以在ankarex上訪問這項服務(wù)，注冊后用戶就可以使用加密貨幣轉(zhuǎn)賬上傳資金，并通過指定短信內(nèi)容和目標(biāo)電話號碼發(fā)起自己的詐騙活動。

在此之前，ThreatFabric還詳細(xì)介紹了一種新的Anatsa(又名TeaBot)銀行木馬活動，該活動自2023年3月初以來一直針對美國、英國、德國、奧地利和瑞士的銀行客戶。