Опасная кампания по краже банковских учетных данных была проведена ботнетом Fenix, нацеленной на банковских пользователей в Мексике. Киберпреступники, стоящие за этой кампанией, используют поддельные текстовые сообщения, которые имитируют сообщения от SAT, чтобы обмануть жертвы и заставить их скачать файл, который на самом деле устанавливает вредоносное ПО на их устройства. После заражения вредоносное ПО начинает мониторить активность пользователя в поисках банковских учетных данных и другой конфиденциальной информации из финансовых приложений, таких как Banamex, BBVA, Santander и других.
Вредоносное ПО, идентифицированное как Narnia RAT, после установки на устройство жертвы позволяет злоумышленникам удаленно красть банковскую информацию и другие личные данные. Чтобы обеспечить свою персистентность и избежать обнаружения, вредоносное ПО также устанавливает программу под названием Remote Utilities, которая позволяет злоумышленникам сохранять контроль над устройством даже если основное вредоносное ПО будет удалено каким-либо антивирусом.
Модус операнди ботнета Fenix начинается с получения поддельного SMS-сообщения, которое призывает жертву скачать предполагаемый важный файл PDF. При нажатии на ссылку, предоставленную в сообщении, вместо открытия PDF-файла появляется вредоносная HTML-страница. Эта страница обманывает жертву и автоматически копирует вредоносный код в её буфер обмена при нажатии на кнопку "Решить", незаметно для жертвы.
Крайне важно, чтобы пользователи сохраняли бдительность, избегая открытия подозрительных ссылок и всегда проверяя подлинность получаемых сообщений, особенно тех, которые запрашивают загрузку файлов или выполнение команд на их устройствах. Социальная инженерия, используемая киберпреступниками для обмана жертв, и сложность применяемых техник делают их вмешательство практически невидимым для большинства антивирусов, как было задокументировано в анализе, проведенном исследователем в области кибербезопасности Германа Фернандеса.
