從2021年6月到2023年4月，墨西哥黑客一直在使用安卓惡意軟件攻擊全球金融機構的，特別是西班牙和智利的銀行。

安全研究員Pol Thill表示，攻擊活動是由一個代號為Neo_Net的黑客發起的。

Thill稱：盡管Neo_Net使用了相對簡單的工具，但根據特定目標定制基礎設施，仍取得了很高的成功率，導致受害者銀行賬戶被盜超過35萬歐元，并導致數千名受害者的個人身份信息被泄露。

該黑客的主要攻擊目標包括桑坦德銀行、西班牙對外銀行、CaixaBank、德意志銀行、法國農業銀行和荷蘭國際集團等銀行。

1688524236_64a4d5cc45af1f49ea498.png!small

據悉，Neo_Net與另一名居住在墨西哥的黑客有所關聯，他們都是經驗豐富的網絡犯罪分子，長久以來一直在網上售賣網絡釣魚工具，并將受害者的數據泄露給第三方，此外還提供一種名為Ankarex的詐騙服務，該服務針對世界各地的許多國家。

多階段攻擊的初始切入點是短信網絡釣魚，在這種攻擊中，威脅行為者采用了各種恐嚇策略，誘使不知情的收件人點擊虛假的登陸頁面，并通過Telegram機器人獲取并泄露他們的信息。

Thill解釋說：網絡釣魚工具是由Neo_Net的PRIV8精心設置的，并實施了多種防御措施，包括阻止來自非移動用戶代理的請求，并將頁面隱藏在機器人和網絡掃描儀之外。這些頁面的設計與真正的銀行應用程序非常相似，這些頁面里還配有動畫，從而讓人更易信服。

這些黑客以安全軟件的名義欺騙銀行客戶安裝惡意的Android應用程序，這些應用程序一旦安裝，就會請求SMS權限來捕獲銀行發送的基于短信的雙因素認證(2FA)代碼。

自2022年5月以來，Ankarex平臺一直處于活躍狀態，特別是在擁有約1700名訂閱用戶的Telegram頻道上得到了積極推廣。人們可以在ankarex上訪問這項服務，注冊后用戶就可以使用加密貨幣轉賬上傳資金，并通過指定短信內容和目標電話號碼發起自己的詐騙活動。

在此之前，ThreatFabric還詳細介紹了一種新的Anatsa(又名TeaBot)銀行木馬活動，該活動自2023年3月初以來一直針對美國、英國、德國、奧地利和瑞士的銀行客戶。