Trojan bancario Nexus

Il trojan bancario Nexus è un tipo di malware mobile che prende di mira i sistemi operativi Android. La minaccia è essenzialmente una versione rinominata del trojan bancario SOVA precedentemente identificato e tracciato. Il suo obiettivo principale è rubare informazioni bancarie e finanziarie dai dispositivi infetti delle sue vittime. Tuttavia, ha anche varie funzionalità dannose che lo rendono una minaccia più significativa.

Nexus può eseguire azioni come il furto di credenziali di accesso per altre applicazioni, la registrazione di audio e l'acquisizione di schermate. Questo tipo di malware può anche eseguire funzioni spyware come l'accesso a contatti, messaggi e altre informazioni sensibili memorizzate sul dispositivo. In quanto tale, rappresenta una minaccia significativa sia per la privacy personale che per la sicurezza informatica. I dettagli sul trojan bancario Nexus Android sono stati resi pubblici dai ricercatori di Cyble.

Nexus Banking Trojan raccoglie informazioni sensibili dai dispositivi infetti

Il malware Nexus ottiene il controllo sui dispositivi degli utenti abusando dei servizi di accessibilità Android. Questa funzione legittima è intesa come un modo per aiutare gli utenti a utilizzare più facilmente i propri dispositivi simulando clic, leggendo il testo visualizzato, ecc. Una volta che il malware si è infiltrato in un dispositivo (di solito camuffato da app legittima), richiede agli utenti di abilitare i servizi di accessibilità che possono interagire con la macchina in vari modi.

Dopo aver acquisito il controllo sui servizi di accessibilità, Nexus può aumentare i propri privilegi e concedersi autorizzazioni aggiuntive, inclusa la possibilità di impedire agli utenti di disabilitare i servizi di accessibilità e disattivare Google Play Protect e altre misure di sicurezza della password.

Nexus raccoglie varie informazioni sul dispositivo, tra cui il modello del telefono, la versione del sistema operativo, l'IMEI, lo stato della batteria, l'indirizzo IP (geolocalizzazione), l'ID della scheda SIM, il numero di telefono e i dati della rete mobile. Il malware prende di mira specificamente oltre quaranta applicazioni bancarie popolari, controllando l'elenco delle applicazioni installate sul dispositivo e scaricando il codice di iniezione HTML appropriato per ciascuna app bancaria. Questo codice crea un falso overlay, che viene attivato quando l'utente interagisce con l'app bancaria legittima e richiede all'utente di inserire le proprie credenziali di accesso.

Una volta che l'utente inserisce le proprie credenziali di accesso, il malware le invia agli aggressori, dando loro accesso al conto bancario dell'utente. Poiché il malware è in grado di impedire all'utente di disabilitare i servizi di accessibilità, può continuare a raccogliere informazioni sensibili e compromettere il dispositivo dell'utente.

Nexus Banking Trojan ottiene il controllo dei dispositivi violati

Il trojan Nexus è un software dannoso dotato di varie funzionalità che lo aiutano a ottenere il controllo sui contenuti sensibili, in particolare sui conti bancari. Una delle sue abilità chiave è la capacità di registrare sequenze di tasti (keylogging) che possono essere utilizzate per acquisire credenziali di accesso e altre informazioni sensibili.

Inoltre, Nexus può anche gestire messaggi SMS, chiamate e notifiche. Può leggere, intercettare, nascondere, eliminare e persino inviare messaggi di testo a numeri specifici oa tutti i contatti. Ciò gli consente di ottenere OTP e 2FA/MFA inviati tramite messaggi di testo, nonché informazioni da Google Authenticator.

Nexus può anche effettuare telefonate furtive e inoltrarle, nonché modificare le informazioni di contatto. Ciò significa che potrebbe essere utilizzato per il malware Toll Fraud. Può inviare messaggi a tutti i contatti, il che potrebbe causare la proliferazione di messaggi SMS di spam.

Inoltre, il trojan può gestire le notifiche leggendo, intercettando, nascondendo e persino mostrando quelle false. Può anche controllare processi in esecuzione, eliminare programmi, aprire app, bloccare/sbloccare il dispositivo, disattivare/riattivare l'audio, aprire URL tramite browser, mostrare false sovrapposizioni di avvisi di sistema, acquisire elenchi di account utente e ottenere credenziali di accesso e saldi per portafogli di criptovaluta.

Nexus può anche leggere ed eliminare file dalla memoria esterna collegata, che potrebbe essere utilizzata per causare infezioni a catena iniettando contenuti dannosi aggiuntivi nei dispositivi. Sebbene attualmente sembri essere utilizzato principalmente per ottenere pacchetti di iniezione HTML per le app bancarie, potrebbe essere potenzialmente modificato per infettare i dispositivi con malware aggiuntivo, come il ransomware.