Un gruppo di cybercriminali di lingua spagnola noto come GXC Team è stato osservato mentre combinava kit di phishing con applicazioni Android dannose, portando le offerte di malware-as-a-service (MaaS) a un nuovo livello. La società di cybersecurity di Singapore Group-IB, che monitora questo attore da gennaio 2023, ha descritto la soluzione come una "piattaforma di phishing-as-a-service alimentata dall'IA" capace di prendere di mira utenti di più di 36 banche spagnole, enti governativi e 30 istituzioni in tutto il mondo.

Il kit di phishing ha un prezzo che varia tra i 150 e i 900 dollari al mese, mentre il pacchetto che include il kit di phishing e il malware Android è disponibile su abbonamento per circa 500 dollari al mese. Gli obiettivi della campagna includono utenti di istituzioni finanziarie spagnole, servizi fiscali e governativi, e-commerce, banche e scambi di criptovalute negli Stati Uniti, nel Regno Unito, in Slovacchia e in Brasile. Ad oggi, sono stati identificati ben 288 domini di phishing collegati all'attività.

Tra i servizi offerti vi è anche la vendita di credenziali bancarie rubate e schemi di codifica personalizzata per altri gruppi di cybercriminali che prendono di mira aziende bancarie, finanziarie e di criptovalute. Diversamente dagli sviluppatori di phishing tipici, il GXC Team ha combinato kit di phishing con un malware SMS OTP stealer, modificando leggermente lo scenario di attacco phishing tradizionale.

Invece di utilizzare direttamente una pagina falsa per catturare le credenziali, gli attori minacciosi spingono le vittime a scaricare un'app bancaria basata su Android per prevenire gli attacchi di phishing. Queste pagine sono distribuite tramite smishing e altri metodi. Una volta installata, l'app richiede permessi per essere configurata come app SMS predefinita, rendendo possibile intercettare le password monouso (OTP) e altri messaggi e trasferirli a un bot Telegram sotto il loro controllo.

Nella fase finale, l'app apre il sito web genuino della banca in WebView permettendo agli utenti di interagire normalmente. Dopo di che, ogni volta che l'attaccante attiva il prompt OTP, il malware Android riceve e inoltra silenziosamente i messaggi SMS contenenti i codici OTP alla chat di Telegram controllata dall'attore minaccioso.

Tra gli altri servizi pubblicizzati dal GXC Team su un canale Telegram dedicato vi sono strumenti di chiamata vocale infusi con IA che permettono ai clienti di generare chiamate vocali ai potenziali obiettivi sulla base di una serie di prompt direttamente dal kit di phishing. Queste chiamate solitamente fingono di provenire da una banca, istruiscono le vittime a fornire i loro codici di autenticazione a due fattori (2FA), installare app dannose o eseguire altre azioni arbitrarie.

L'uso di questo meccanismo semplice ma efficace rende lo scenario della truffa ancora più convincente per le vittime e dimostra quanto rapidamente e facilmente gli strumenti di IA siano adottati e implementati dai criminali nei loro schemi, trasformando gli scenari di frode tradizionali in nuove tattiche più sofisticate.