Este nuevo virus en tu móvil está drenando cuentas bancarias en todo el mundo

Aunque de encuentros con hackers o intentos de estafa no se escapa casi nadie, los usuarios de Android han estado especialmente expuestos a un virus que opera desde 2021 y tiene como objetivo robar tus datos bancarios y drenar tus cuentas.

Se trata de una campaña de malware, gestionada por un atacante con el nombre en código “Neo_Net”, capaz de acceder a tu información de identificación personal (PII), un conjunto de datos con los que se puede identificar a cualquier individuo en específico.

Datos muy delicados

La información del PII reúne datos altamente delicados y privados que suelen usarse en el robo de identidades. Quien tenga acceso puede hacer casi cualquier cosa en nombre de la víctima, por lo que esta actividad está regulada legalmente, en mayor o menor medida según cada país.

Un informe del experto en seguridad Pol Thill, analista de Inteligencia y Amenazas Cibernéticas en la compañía QuoIntelligence, indica que “Neo_Net” ha estado apuntando a usuarios bancarios en todo el mundo, centrándose principalmente en España y Chile.

Entre los bancos afectados se encuentran Santander, BBVA, CaixaBank, Deutsche Bank, Crédit Agricole e ING.

El atacante, que parece estar ubicado en México, hizo dos cosas: ejecutó una campaña de phishing para recolectar datos y distribuyó un malware para Android diseñado para robar códigos de autenticación multifactor (MFA).

Poco sofisticado, pero efectivo

“A pesar de utilizar herramientas relativamente poco sofisticadas, Neo_Net ha logrado una alta tasa de éxito al adaptar su infraestructura a objetivos específicos, lo que resultó en el robo de más de 350.000 euros a las víctimas”, escribió Pol Thill en el blog de Sentinel One, una empresa de ciberseguridad con sede en California.

El reporte señala que este atacante creó páginas de destino “de aspecto convincente”, que podrían confundirse fácilmente con sitios web auténticos pertenecientes a los bancos antes mencionados. Luego, ejecutó una campaña de envío de SMS, instando a las víctimas a hacer clic en el enlace y dejar sus datos de identidad que luego recolectó usando un bot de Telegram.

También te puede interesar:

• Millones de celulares Android vienen infectados por un malware de fábrica

• Los estafadores ahora pueden clonar tu voz con IA: así puedes protegerte

• Rica ejecutiva pierde US$450.000 en estafa romántica conocida como “matanza de cerdos”

• Si vivieras en este país tendrías prohibido usar internet

Neo_Net llegó a establecer una infraestructura de amplio alcance, incluidos paneles de phishing y troyanos de Android, a numerosos afiliados, vendió datos comprometedores de víctimas a terceros y lanzó una oferta exitosa de Smishing-as-a-Service dirigida a varios países.

Así te engañan

En algunos casos, los atacantes también engañan a las víctimas para que descarguen aplicaciones maliciosas de Android que fingen ser software de seguridad, pero, de hecho, solo están allí para robar códigos MFA. Tras la instalación, las aplicaciones solicitan permisos de SMS.

Una vez que enviaron sus credenciales, la información de las víctimas se extrajo subrepticiamente a un chat de Telegram designado a través de Telegram Bot API, lo que otorgó a los actores de amenazas acceso sin restricciones a los datos robados, incluidas las direcciones IP de las víctimas y los agentes de usuario.

¿Por qué importa?

Según la web especializada The Hacker News, hay dos conclusiones importantes de esta campaña maliciosa: una, tiene mucho éxito, y dos, parece estar implementando una plataforma de envío de SMS patentada (Ankarex).

La suma robada real probablemente sea mucho mayor que 350.000 euros, apuntó Sentinel One, ya que las operaciones más antiguas y las transacciones que no requieren autenticación de múltiples factores no se agregaron a la suma total.

Esta campaña específica estuvo activa entre junio de 2021 y abril de 2023, lo que sugiere que el actor de amenazas probablemente estuvo activo durante mucho más tiempo. Se le describe como un “ciberdelincuente experimentado” que no solo ejecuta campañas maliciosas, sino que también vende herramientas y servicios en la Dark Web.

Ankarex, que se usó en esta campaña, se promociona activamente en el canal Telegram de Neo_Net, a unos 1.700 suscriptores.

A pesar de que el actor de amenazas parece estar enfocándose casi exclusivamente en la comunidad de habla hispana, la campaña aún arroja una red relativamente amplia. El investigador afirma que Neo_Net atacó a clientes de 50 instituciones financieras, 30 de las cuales tenían su sede en España o Chile.

En su artículo, Sentinel One llama a Neo_Net la “piedra angular del crimen electrónico en español”. Se detectó que mantiene un perfil público de GitHub bajo el nombre “notsafety”, así como una cuenta de Telegram donde presenta su trabajo. También es aquí donde el hacker afirma ser el fundador de Ankarex.

Los datos confidenciales robados incluían números de teléfono, números de identidad nacional y nombres de miles de víctimas.

Es una estafa común

The Hacker News recuerda que los troyanos bancarios son una práctica común en el mundo del cibercrimen. Hace solo una semana, se encontró que el troyano bancario Anatsa estaba detrás de múltiples casos confirmados de fraude. Anatsa se estaba distribuyendo a través de aplicaciones de Android vendidas en Google Play Store, informó ThreatFabric en ese momento.

Estas aplicaciones tuvieron más de 30.000 instalaciones y estaban dirigidas a casi 600 apps financieras de todo el mundo, mientras apuntaban a víctimas en los Estados Unidos, Alemania, Austria y Suiza.

También se ha observado que Neo_Net colabora con personas que no hablan español, incluido otro ciberdelincuente identificado en Telegram como devilteam666. Una operación en particular involucró el uso de Google Ads dirigido a propietarios de billeteras criptográficas, y devilteam666 continúa ofreciendo servicios maliciosos de Google Ads en su canal de Telegram.

También te puede interesar | EN VIDEO: Automovilista es testigo de un asalto y va con todo contra ladrón