La firma italiana de ciberseguridad Cleafy descubrió que «Nexus», un nuevo troyano de Android capaz de secuestrar cuentas en línea y desviar fondos de ellas, está dirigido a clientes de 450 bancos y servicios de criptomonedas en todo el mundo.
Nexus, observado por primera vez en junio de 2022 como una variante de SOVA, otro troyano bancario para Android, desde entonces ha mejorado sus capacidades de focalización y está disponible a través de un programa de malware como servicio (MaaS) de $3000 Disponible por mes y permite que otros atacantes alquilen o suscríbase al malware para ataques personales.
Según un informe de Cleafy, varias campañas activas en todo el mundo confirman que varios actores de amenazas ya están utilizando este hilo para ejecutar campañas engañosas.
Nexus hackea los controles de Android para robar las credenciales de los usuarios
Cleafy observó que Nexus emplea varias técnicas de adquisición de cuentas. Una de estas técnicas es realizar ataques de superposición y registrar pulsaciones de teclas para robar las credenciales de los usuarios. Cuando un cliente de una aplicación bancaria o de criptomonedas específica utiliza su dispositivo Android comprometido, Nexus lo redirige a una página que se hace pasar por una página de inicio de sesión de la aplicación real y recopila las credenciales de la víctima mediante un registrador de teclas integrado.
Al igual que muchos troyanos bancarios, Nexus puede obtener acceso a cuentas en línea extrayendo códigos de autenticación de dos factores de un SMS interceptado. Se descubrió que el troyano roba semillas y equilibra la información de las billeteras de criptomonedas, las cookies de los sitios web de destino y los códigos de dos factores de la aplicación Google Authenticator mediante el uso de las funciones de «accesibilidad» de Android.
Cleafy señaló que Nexus ha desarrollado capacidades más nuevas que faltaban en la variante SOVA del año pasado, incluida la capacidad de eliminar los mensajes SMS de autenticación recibidos, detener o activar el módulo de robo de código 2FA de Google Authenticator y verificar periódicamente su propio servidor de comando y control (C2) para actualizaciones y para la instalación automática de cualquier actualización disponible.
Los módulos tienen regalos de aficionados que aún luchan por la perfección.
A pesar de su versatilidad de adquisición de cuentas y su alcance global, Cleafy describe a Nexus como un «trabajo en progreso». Esto se debe principalmente a la presencia de cadenas de depuración y la falta de sugerencias de uso en ciertos módulos del malware.
El número relativamente alto de mensajes de registro en el código indica un seguimiento y un informe insuficientes de las acciones de malware. Además, la versión actual del malware carece de un módulo de computación de red virtual (VNC) para la toma de control remoto total de un dispositivo infectado con Nexus.
El módulo VNC permite a los atacantes realizar fraudes en el dispositivo, uno de los tipos de fraude más peligrosos, ya que las transferencias de dinero se inician desde el mismo dispositivo que utilizan las víctimas todos los días, según el informe.
Un módulo aún en desarrollo, como observó Cleafy, parece tener capacidades de encriptación, principalmente con fines de ofuscación después de una adquisición total de la cuenta.
Derechos de autor © 2023 IDG Communications, Inc.