Troià bancari Nexus

El troià bancari Nexus és un tipus de programari maliciós mòbil que s'adreça als sistemes operatius Android. L'amenaça és essencialment una versió rebrandada del troià bancari SOVA identificat i seguit prèviament. El seu objectiu principal és robar informació bancària i financera dels dispositius infectats de les seves víctimes. Tanmateix, també té diverses funcions malicioses que el converteixen en una amenaça més important.

Nexus pot realitzar accions com ara robar les credencials d'inici de sessió d'altres aplicacions, gravar àudio i fer captures de pantalla. Aquest tipus de programari maliciós també pot realitzar funcions de programari espia, com ara accedir a contactes, missatges i altra informació sensible emmagatzemada al dispositiu. Com a tal, suposa una amenaça important tant per a la privadesa personal com per a la ciberseguretat. Els investigadors de Cyble han donat a conèixer al públic els detalls sobre el troià bancari Nexus Android.

El troià Nexus Banking recull informació sensible dels dispositius infectats

El programari maliciós Nexus aconsegueix el control dels dispositius dels usuaris abusant dels serveis d'accessibilitat d'Android. Aquesta funció legítima està pensada com una manera d'ajudar els usuaris a fer servir més fàcilment els seus dispositius simulant clics, llegint el text mostrat, etc. Un cop el programari maliciós s'infiltra en un dispositiu (normalment disfressat com una aplicació legítima), demana als usuaris que habilitin els serveis d'accessibilitat, que pot interactuar amb la màquina de diverses maneres.

Després d'aconseguir el control dels serveis d'accessibilitat, Nexus pot augmentar els seus privilegis i concedir-se permisos addicionals, inclosa la possibilitat d'impedir que els usuaris desactivin els serveis d'accessibilitat i desactivar Google Play Protect i altres mesures de seguretat de contrasenya.

Nexus recopila informació de diferents dispositius, com ara el model de telèfon, la versió del sistema operatiu, l'IMEI, l'estat de la bateria, l'adreça IP (geolocalització), l'identificador de la targeta SIM, el número de telèfon i les dades de la xarxa mòbil. El programari maliciós s'adreça específicament a més de quaranta aplicacions bancàries populars, comprovant la llista d'aplicacions instal·lades al dispositiu i descarregant el codi d'injecció HTML adequat per a cada aplicació bancària. Aquest codi crea una superposició falsa, que s'activa quan l'usuari interactua amb l'aplicació bancària legítima i demana a l'usuari que introdueixi les seves credencials d'inici de sessió.

Un cop l'usuari introdueix les seves credencials d'inici de sessió, el programari maliciós les envia als atacants, donant-los accés al compte bancari de l'usuari. Com que el programari maliciós pot evitar que l'usuari desactivi els serveis d'accessibilitat, pot continuar recopilant informació sensible i comprometre el dispositiu de l'usuari.

Nexus Banking Troià guanya el control dels dispositius trencats

El troià Nexus és un programari maliciós que té diverses funcionalitats que l'ajuden a controlar el contingut sensible, especialment els comptes bancaris. Una de les seves habilitats clau és la capacitat d'enregistrar les pulsacions de tecles (keylogging) que es poden utilitzar per capturar credencials d'inici de sessió i altra informació sensible.

A més, Nexus també pot gestionar missatges SMS, trucades i notificacions. Pot llegir, interceptar, amagar, suprimir i fins i tot enviar missatges de text a números específics o a tots els contactes. Això li permet obtenir OTP i 2FA/MFA enviats mitjançant missatges de text, així com informació de Google Authenticator.

Nexus també pot fer trucades telefòniques sigils i reenviar-les, així com modificar la informació de contacte. Això vol dir que es podria utilitzar per al programari maliciós de frau de peatge. Pot enviar missatges a tots els contactes, cosa que podria provocar la proliferació de missatges SMS de correu brossa.

A més, el troià pot gestionar les notificacions llegint, interceptant, amagant i fins i tot mostrant-ne les falses. També pot comprovar els processos en execució, suprimir programes, obrir aplicacions, bloquejar/desbloquejar el dispositiu, silenciar/desactivar el so, obrir URL mitjançant navegadors, mostrar superposicions falses d'alerta del sistema, adquirir llistes de comptes d'usuari i obtenir credencials d'inici de sessió i saldos per a carteres de criptomoneda.

Nexus també pot llegir i suprimir fitxers de l'emmagatzematge extern connectat, que es podrien utilitzar per provocar infeccions en cadena injectant contingut maliciós addicional als dispositius. Tot i que actualment sembla que s'utilitza principalment per obtenir paquets d'injecció d'HTML per a aplicacions bancàries, es podria modificar per infectar dispositius amb programari maliciós addicional, com ara ransomware.