Troyano Android Nexus

Un troyano bancario para Android emergente conocido como 'Nexus' ya se ha agregado a las herramientas maliciosas de varios actores de amenazas. Los ciberdelincuentes han utilizado la amenaza para apuntar a aproximadamente 450 aplicaciones financieras y llevar a cabo actividades fraudulentas.

Según la ciberseguridad italiana que publicó un informe sobre la amenaza, Nexus parece estar en sus primeras etapas de desarrollo. Sin embargo, el troyano proporciona todas las funciones necesarias para llevar a cabo ataques de apropiación de cuenta (ATO) contra portales bancarios y servicios de criptomonedas, como el robo de credenciales de inicio de sesión y la interceptación de mensajes SMS. Las capacidades maliciosas de Nexus lo convierten en un troyano bancario sofisticado y peligroso que puede causar daños financieros significativos a sus víctimas. Nexus está diseñado específicamente para comprometer dispositivos Android.

El troyano bancario Nexus se ofrece como un servicio de suscripción

Se descubrió que el troyano bancario Nexus se ofrecía a la venta en varios foros de piratería por $ 3,000 por mes como esquema MaaS (Malware-as-a-Service). Sin embargo, hay pruebas que sugieren que es posible que el troyano ya se haya implementado en ataques del mundo real desde junio de 2022, al menos seis meses antes de su anuncio oficial en los portales de la red oscura.

Los autores del malware han confirmado que la mayoría de las infecciones de Nexus se han registrado en Turquía, según su propio canal de Telegram. Además, se descubrió que la amenaza de malware se superpone con otro troyano bancario llamado SOVA, que en realidad reutiliza partes de su código fuente. El troyano Nexus también contiene un módulo de ransomware que parece estar desarrollado activamente.

Curiosamente, los autores de Nexus han establecido reglas explícitas que prohíben el uso de su malware en varios países, incluidos Azerbaiyán, Armenia, Bielorrusia, Kazajstán, Kirguistán, Moldavia, Rusia, Tayikistán, Uzbekistán, Ucrania e Indonesia.

Amplia lista de capacidades amenazantes encontradas en el troyano bancario Nexus

Nexus está diseñado específicamente para obtener acceso no autorizado a las cuentas bancarias y de criptomonedas de los usuarios mediante el empleo de diversas técnicas, como ataques de superposición y registro de teclas. A través de estos métodos, el malware roba las credenciales de inicio de sesión de los usuarios y otra información confidencial.

Además de estas tácticas, el malware tiene la capacidad de leer códigos de autenticación de dos factores (2FA), tanto de mensajes SMS como de la aplicación Google Authenticator. Esto es posible gracias a la explotación de los servicios de accesibilidad en Android.

Además, el malware se ha mejorado con nuevas funcionalidades, como la capacidad de eliminar los mensajes SMS recibidos, activar o desactivar el módulo de robo 2FA y actualizarse comunicándose periódicamente con un servidor de comando y control (C2). Estas nuevas características hacen que el malware sea aún más peligroso y difícil de detectar.