Trojan bancário Nexus

O trojan bancário Nexus é um tipo de malware móvel que tem como alvo os sistemas operacionais Android. A ameaça é essencialmente uma versão renomeada do trojan bancário SOVA previamente identificado e rastreado. Seu objetivo principal é roubar informações bancárias e financeiras dos dispositivos infectados de suas vítimas. No entanto, também possui vários recursos maliciosos que o tornam uma ameaça mais significativa.

O Nexus pode executar ações como roubar credenciais de login para outros aplicativos, gravar áudio e fazer capturas de tela. Esse tipo de malware também pode executar funções de spyware, como acessar contatos, mensagens e outras informações confidenciais armazenadas no dispositivo. Como tal, representa uma ameaça significativa à privacidade pessoal e à segurança cibernética. Detalhes sobre o trojan bancário Nexus Android foram divulgados ao público pelos pesquisadores da Cyble.

Nexus Banking Trojan coleta informações confidenciais de dispositivos infectados

O malware Nexus ganha controle sobre os dispositivos dos usuários abusando dos Serviços de Acessibilidade do Android. Esse recurso legítimo destina-se a ajudar os usuários a operar seus dispositivos com mais facilidade, simulando cliques, lendo o texto exibido etc. Depois que o malware se infiltra em um dispositivo (geralmente disfarçado de aplicativo legítimo), ele solicita que os usuários ativem os Serviços de Acessibilidade, que podem interagir com a máquina de várias maneiras.

Depois de obter o controle sobre os Serviços de Acessibilidade, o Nexus pode aumentar seus privilégios e conceder a si mesmo permissões adicionais, incluindo a capacidade de impedir que os usuários desativem os Serviços de Acessibilidade e desativem o Google Play Protect e outras medidas de segurança de senha.

O Nexus coleta várias informações do dispositivo, incluindo o modelo do telefone, versão do sistema operacional, IMEI, status da bateria, endereço IP (geolocalização), ID do cartão SIM, número de telefone e dados da rede móvel. O malware atinge especificamente mais de quarenta aplicativos bancários populares, verificando a lista de aplicativos instalados no dispositivo e baixando o código de injeção de HTML apropriado para cada aplicativo bancário. Esse código cria uma sobreposição falsa, que é acionada quando o usuário interage com o aplicativo bancário legítimo e solicita que ele insira suas credenciais de login.

Depois que o usuário insere suas credenciais de login, o malware as envia para os invasores, dando-lhes acesso à conta bancária do usuário. Como o malware é capaz de impedir que o usuário desabilite os Serviços de Acessibilidade, ele pode continuar coletando informações confidenciais e comprometer o dispositivo do usuário.

Nexus Banking Trojan obtém controle dos dispositivos violados

O trojan Nexus é um software malicioso que possui várias funcionalidades que o ajudam a controlar conteúdos confidenciais, especialmente contas bancárias. Uma de suas principais habilidades é a capacidade de gravar pressionamentos de tecla (keylogging), que pode ser usado para capturar credenciais de login e outras informações confidenciais.

Além disso, o Nexus também pode gerenciar mensagens SMS, chamadas e notificações. Ele pode ler, interceptar, ocultar, excluir e até enviar mensagens de texto para números específicos ou para todos os contatos. Isso permite obter OTPs e 2FAs/MFAs enviados por mensagens de texto, bem como informações do Google Authenticator.

O Nexus também pode fazer chamadas telefônicas furtivas e encaminhá-las, bem como alterar as informações de contato. Isso significa que ele pode ser usado para o malware Toll Fraud. Ele pode enviar mensagens para todos os contatos, o que pode resultar na proliferação de mensagens SMS de spam.

Além disso, o trojan pode gerenciar notificações lendo, interceptando, ocultando e até exibindo notificações falsas. Ele também pode verificar processos em execução, excluir programas, abrir aplicativos, bloquear/desbloquear o dispositivo, ativar/desativar som, abrir URLs por meio de navegadores, mostrar sobreposições falsas de alerta do sistema, adquirir listas de contas de usuários e obter credenciais de login e saldos para carteiras de criptomoedas.

O Nexus também pode ler e excluir arquivos do armazenamento externo conectado, o que pode ser usado para causar infecções em cadeia ao injetar conteúdo malicioso adicional nos dispositivos. Embora atualmente pareça ser usado principalmente para obter pacotes de injeção de HTML para aplicativos bancários, ele pode ser alterado para infectar dispositivos com malware adicional, como ransomware.