Nexus Android Trojan

Um Trojan bancário Android conhecido como 'Nexus' já foi adicionado às ferramentas maliciosas de vários agentes de ameaças. Os cibercriminosos usaram a ameaça para atingir aproximadamente 450 aplicativos financeiros e realizar atividades fraudulentas.

De acordo com a segurança cibernética italiana que divulgou um relatório sobre a ameaça, o Nexus parece estar em seus estágios iniciais de desenvolvimento. No entanto, o cavalo de Tróia fornece todos os recursos necessários para realizar ataques de controle de conta (ATO) contra portais bancários e serviços de criptomoeda, como roubo de credenciais de login e interceptação de mensagens SMS. As capacidades maliciosas do Nexus o tornam um trojan bancário sofisticado e perigoso que pode causar danos financeiros significativos às suas vítimas. O Nexus foi projetado especificamente para comprometer dispositivos Android.

O Nexus Banking Trojan é Oferecido como um Serviço de Assinatura

O Nexus Banking Trojan foi descoberto para ser vendido em vários fóruns de hackers por $ 3.000 por mês como esquema MaaS (Malware-as-a-Service). No entanto, há evidências que sugerem que o trojan já pode ter sido implantado em ataques do mundo real já em junho de 2022, pelo menos seis meses antes de seu anúncio oficial nos portais da darknet.

Os autores do malware confirmaram que a maioria das infecções do Nexus foram relatadas na Turquia, de acordo com seu próprio canal no Telegram. Além disso, descobriu-se que a ameaça de malware se sobrepõe a outro Trojan bancário chamado SOVA, na verdade reutilizando partes de seu código-fonte. O Nexus Trojan também contém um módulo de ransomware que parece ter sido desenvolvido ativamente.

Curiosamente, os autores do Nexus estabeleceram regras explícitas que proíbem o uso de seu malware em vários países, incluindo Azerbaijão, Armênia, Bielorrússia, Cazaquistão, Quirguistão, Moldávia, Rússia, Tadjiquistão, Uzbequistão, Ucrânia e Indonésia.

Lista Extensa dos Recursos Ameaçadores Encontrados no Nexus Banking Trojan

O Nexus foi projetado especificamente para obter acesso não autorizado às contas bancárias e de criptomoedas dos usuários, empregando várias técnicas, como ataques de sobreposição e keylogging. Por meio desses métodos, o malware rouba as credenciais de login dos usuários e outras informações confidenciais.

Além dessas táticas, o malware tem a capacidade de ler códigos de autenticação de dois fatores (2FA), tanto de mensagens SMS quanto do aplicativo Google Authenticator. Isso é possível através da exploração de serviços de acessibilidade no Android.

Além disso, o malware foi aprimorado com novas funcionalidades, como a capacidade de remover mensagens SMS recebidas, ativar ou desativar o módulo ladrão 2FA e atualizar-se comunicando-se periodicamente com um servidor de comando e controle (C2). Esses novos recursos tornam o malware ainda mais perigoso e difícil de detectar.