Troià Nexus Android

Un troià bancari emergent d'Android conegut com "Nexus" ja s'ha afegit a les eines malicioses de diversos actors d'amenaça. Els ciberdelinqüents han utilitzat l'amenaça per atacar aproximadament 450 aplicacions financeres i dur a terme activitats fraudulentes.

Segons la ciberseguretat italiana que va publicar un informe sobre l'amenaça, Nexus sembla estar en les seves primeres etapes de desenvolupament. Tanmateix, el troià proporciona totes les funcions necessàries per dur a terme atacs de presa de comptes (ATO) contra portals bancaris i serveis de criptomoneda, com ara robar credencials d'inici de sessió i interceptar missatges SMS. Les capacitats malicioses de Nexus el converteixen en un troià bancari sofisticat i perillós que pot causar danys financers importants a les seves víctimes. Nexus està dissenyat específicament per comprometre els dispositius Android.

El troià bancari Nexus s'ofereix com a serveis de subscripció

Es va descobrir que el troià Nexus Banking es posava a la venda en diversos fòrums de pirateria per 3.000 dòlars al mes com a esquema MaaS (Malware-as-a-Service). Tanmateix, hi ha proves que suggereixen que el troià ja s'hagi desplegat en atacs del món real des del juny de 2022, almenys sis mesos abans del seu anunci oficial als portals de la xarxa fosca.

Els autors de programari maliciós han confirmat que la majoria de les infeccions de Nexus s'han informat a Turquia, segons el seu propi canal de Telegram. A més, s'ha trobat que l'amenaça de programari maliciós es solapa amb un altre troià bancari anomenat SOVA, que en realitat reutilitza parts del seu codi font. El troià Nexus també conté un mòdul de ransomware que sembla estar desenvolupat activament.

Curiosament, els autors de Nexus han establert regles explícites que prohibeixen l'ús del seu programari maliciós a diversos països, com ara Azerbaidjan, Armènia, Bielorússia, Kazakhstan, Kirguizistan, Moldàvia, Rússia, Tadjikistan, Uzbekistan, Ucraïna i Indonèsia.

Llista expansiva de les capacitats amenaçadores que es troben al troià Nexus Banking

Nexus està dissenyat específicament per obtenir accés no autoritzat als comptes bancaris i de criptomoneda dels usuaris mitjançant l'ús de diverses tècniques, com ara atacs de superposició i registre de tecles. Mitjançant aquests mètodes, el programari maliciós roba les credencials d'inici de sessió dels usuaris i altra informació sensible.

A més d'aquestes tàctiques, el programari maliciós té la capacitat de llegir codis d'autenticació de dos factors (2FA), tant dels missatges SMS com de l'aplicació Google Authenticator. Això és possible gràcies a l'explotació dels serveis d'accessibilitat a Android.

A més, el programari maliciós s'ha millorat amb noves funcionalitats, com ara la possibilitat d'eliminar els missatges SMS rebuts, activar o desactivar el mòdul de robatori 2FA i actualitzar-se periòdicament amb un servidor d'ordres i control (C2). Aquestes noves funcions fan que el programari maliciós sigui encara més perillós i difícil de detectar.