Este malware está vaciando cuentas del Santander, BBVA, Caixabank, ING y más bancos
Se ha descubierto un malware de Android que roba información personal identificable (IPI) y datos bancarios de los usuarios y, en algunos casos, roba el dinero de sus cuentas bancarias.
Según un informe del experto en seguridad Pol Thill, una amenaza conocida como Neo_Net ha estado atacando a usuarios de bancos de todo el mundo desde junio de 2021, centrándose sobre todo en víctimas de España y Chile.
A pesar de que la amenaza parece centrarse casi exclusivamente en la comunidad hispanohablante, la campaña tiene un alcance relativamente amplio. El investigador afirma que atacó a clientes de 50 instituciones financieras, 30 de las cuales tenían su sede en España o Chile. La lista completa de bancos afectados puede consultarse en este enlace.
Entre los bancos españoles cuyos clientes están en el punto de mira se encuentran Santander, BBVA, CaixaBank, Sabadell, ING España, Unicaja, Kutxabank, Bankinter, Abanca, Laboral Kutxa, Ibercaja, BancaMarch, CajaSur, OpenBank, Grupo Caja Rural, Cajalmendralejo, MoneyGo, Cecabank, Cetelem, Colonya, Self Bank y Banca Pueyo.
El atacante, que parece estar ubicado en México, hizo dos cosas: llevó a cabo una campaña de phishing de captura de datos y distribuyó malware para Android diseñado para robar códigos de autenticación multifactor (MFA).
Según los investigadores, el atacante creaba páginas web de aspecto convincente, que podían confundirse fácilmente con sitios web auténticos pertenecientes a los bancos mencionados.
A continuación, lanzaban una campaña de SMSishing, instando a las víctimas a hacer clic en el enlace y dejar sus datos de identidad, que los atacantes recopilaban utilizando un bot de Telegram.
Las páginas de phishing estaban meticulosamente configuradas utilizando los paneles de Neo_Net, PRIV8, e implementaban múltiples medidas de defensa, incluyendo el bloqueo de peticiones de agentes de usuario no móviles y la ocultación de las páginas a bots y escáneres de red.
En algunos casos, los atacantes también engañaban a las víctimas para que descargaran aplicaciones Android maliciosas que simulaban ser software de seguridad pero que, en realidad, sólo estaban ahí para robar códigos MFA. Una vez instaladas, las aplicaciones solicitan permisos de SMS.
A pesar de utilizar herramientas relativamente poco sofisticadas, Neo_Net ha logrado un alto índice de éxito adaptando su infraestructura a objetivos específicos, lo que ha dado como resultado el robo de más de 350.000 euros de las cuentas bancarias de las víctimas y ha comprometido la información de identificación personal (PII) de miles de víctimas
El informe añade que es probable que la suma real sea mucho mayor, ya que las operaciones más antiguas y las transacciones que no requieren autenticación multifactor no se incluyen en la suma total.
