La empresa italiana de ciberseguridad, Cleafy, ha descubierto el troyano Nexus Android que puede secuestrar cuentas en línea y retirar fondos de ellas. Se ha descubierto que Nexus se dirige a clientes de 450 bancos y servicios de criptomonedas en todo el mundo.
Se observó por primera vez en junio de 2022 como una variante de otro troyano bancario para Android llamado SOVA. Desde entonces, Nexus ha mejorado sus capacidades de focalización y está disponible a través de un programa de malware como servicio por $3000 al mes. El malware permite que otros atacantes lo alquilen o se suscriban para ataques personales.
De acuerdo a un informe de Cleavy, varias campañas están activas en todo el mundo, lo que confirma que varios actores de amenazas ya están utilizando este hilo para realizar campañas fraudulentas. Nexus emplea varias técnicas para la adquisición de cuentas, incluida la realización ataques superpuestos y registro de pulsaciones de teclas para robar credenciales de usuario.
Cuando un cliente de una aplicación bancaria o de criptomonedas específica usa su dispositivo Android comprometido, Nexus lo redirige a una página que se hace pasar por una página de inicio de sesión de aplicación genuina y toma las credenciales de la víctima usando un registrador de teclas incrustado.
¿Cómo funciona el troyano Android Nexus?
Al igual que muchos troyanos bancarios, el troyano Nexus Android puede obtener acceso a cuentas en línea al interceptar códigos de autenticación de dos factores de un SMS. También se descubrió que el troyano estaba robando semillas e información de saldo de billeteras de criptomonedascookies de sitios web específicos y códigos de dos factores de la aplicación Authenticator de Google que utilizan las funciones de “Servicios de accesibilidad” de Android.
Cleafy descubrió que el troyano Android Nexus ha desarrollado capacidades más nuevas, incluidas capacidades para eliminar mensajes SMS de autenticación recibidos, detener o activar el módulo para robar códigos 2FA de Google Authenticatory revisa periódicamente su propio servidor de comando y control en busca de actualizaciones e instala automáticamente cualquiera que pueda estar disponible.
A pesar de su versatilidad para la adquisición de cuentas y el alcance global, Cleafy designa al troyano Android Nexus como un “trabajo en progreso”. Esto se debe principalmente a la presencia de cadenas de depuración y la falta de referencias de uso en ciertos módulos del malware.
La cantidad relativamente alta de mensajes de registro en el código sugiere un seguimiento y un informe inadecuados de las acciones de malware. Además, la versión actual del malware no cuenta con un módulo de computación de red virtual (VNC) para una toma de control remota completa de un dispositivo infectado con Nexus. El El módulo VNC permite a los actores de amenazas realizar fraudes en el dispositivoque es uno de los tipos de fraude más peligrosos ya que las transferencias de dinero se inician desde el mismo dispositivo que utilizan las víctimas a diario.
Un módulo aún en desarrollo, como observó Cleafy, parece tener capacidades de encriptación principalmente con fines de ofuscación después de una adquisición completa de la cuenta.
En general, Nexus Android Trojan es un troyano peligroso que ya se ha utilizado en varias campañas fraudulentas. Si bien el malware aún es un trabajo en progreso, ya ha demostrado sus capacidades para la apropiación de cuentas y su alcance global, lo que lo convierte en una seria amenaza para los usuarios de banca móvil y criptomonedas.
Hoy en día, especialmente con la creciente prevalencia de las monedas digitales, es muy importante protegerse de este tipo de virus y troyanos. Recientemente, el popular canal de YouTube Linus Tech Tips fue pirateado y los piratas informáticos intentaron realizar algún tipo de estafa criptográfica utilizando una foto de Elon Musk.
