Trojan Android Nexus

Un trojan bancario Android emergente noto come "Nexus" è già stato aggiunto agli strumenti dannosi di diversi attori delle minacce. I criminali informatici hanno utilizzato la minaccia per prendere di mira circa 450 applicazioni finanziarie e svolgere attività fraudolente.

Secondo la sicurezza informatica italiana che ha rilasciato un rapporto sulla minaccia, Nexus sembra essere nelle sue prime fasi di sviluppo. Tuttavia, il Trojan fornisce tutte le funzionalità necessarie per condurre attacchi Account Takeover (ATO) contro portali bancari e servizi di criptovaluta, come il furto di credenziali di accesso e l'intercettazione di messaggi SMS. Le capacità dannose di Nexus lo rendono un trojan bancario sofisticato e pericoloso che può causare danni finanziari significativi alle sue vittime. Nexus è progettato specificamente per compromettere i dispositivi Android.

Il Nexus Banking Trojan è offerto come servizio in abbonamento

Si è scoperto che il Nexus Banking Trojan veniva messo in vendita su vari forum di hacking per $ 3.000 al mese come schema MaaS (Malware-as-a-Service). Tuttavia, ci sono prove che suggeriscono che il trojan potrebbe essere già stato schierato in attacchi nel mondo reale già nel giugno 2022, almeno sei mesi prima del suo annuncio ufficiale sui portali darknet.

Gli autori del malware hanno confermato che la maggior parte delle infezioni di Nexus sono state segnalate in Turchia, secondo il loro canale Telegram. Inoltre, è stato riscontrato che la minaccia malware si sovrappone a un altro trojan bancario chiamato SOVA, riutilizzando in realtà parti del suo codice sorgente. Il Nexus Trojan contiene anche un modulo ransomware che sembra essere attivamente sviluppato.

È interessante notare che gli autori di Nexus hanno stabilito regole esplicite che vietano l'uso del loro malware in diversi paesi, tra cui Azerbaigian, Armenia, Bielorussia, Kazakistan, Kirghizistan, Moldavia, Russia, Tagikistan, Uzbekistan, Ucraina e Indonesia.

Ampio elenco delle capacità minacciose trovate in Nexus Banking Trojan

Nexus è specificamente progettato per ottenere l'accesso non autorizzato ai conti bancari e di criptovaluta degli utenti utilizzando varie tecniche come attacchi overlay e keylogging. Attraverso questi metodi, il malware ruba le credenziali di accesso degli utenti e altre informazioni sensibili.

Oltre a queste tattiche, il malware ha la capacità di leggere i codici di autenticazione a due fattori (2FA), sia dai messaggi SMS che dall'app Google Authenticator. Ciò è reso possibile attraverso lo sfruttamento dei servizi di accessibilità in Android.

Inoltre, il malware è stato potenziato con nuove funzionalità, come la possibilità di rimuovere i messaggi SMS ricevuti, attivare o disattivare il modulo stealer 2FA e aggiornarsi comunicando periodicamente con un server di comando e controllo (C2). Queste nuove funzionalità rendono il malware ancora più pericoloso e difficile da rilevare.