Varios actores de amenazas ya han adoptado un troyano bancario Android emergente denominado Nexus para apuntar a 450 aplicaciones financieras y realizar fraudes.
«Nexus parece estar en sus primeras etapas de desarrollo», dijo la firma italiana de ciberseguridad Cleafy en un informe publicado esta semana.
«Nexus proporciona todas las funciones principales para realizar ataques ATO (Adquisición de cuenta) contra portales bancarios y servicios de criptomonedas, como el robo de credenciales y la interceptación de SMS».
El troyano, que apareció en varios foros de piratería a principios de año, se anuncia como un servicio de suscripción para su clientela por una tarifa mensual de 3.000 dólares. Los detalles del malware fueron documentados por primera vez por Cyble a principios de este mes.
Sin embargo, hay indicios de que el malware puede haber sido utilizado en ataques del mundo real desde junio de 2022, al menos seis meses antes de su anuncio oficial en los portales de la red oscura.
Según el investigador de seguridad Rohit Bansal ( @0xrb ) y confirmado por los autores del malware en su propio canal de Telegram, la mayoría de las infecciones de Nexus han sido reportadas en Turquía.
También se dice que se superpone con otro troyano bancario denominado SOVA , reutilizando partes de su código fuente e incorporando un módulo de ransomware que parece estar en desarrollo activo.
Un punto que vale la pena mencionar aquí es que Nexus es el mismo malware que Cleafy clasificó inicialmente como una nueva variante de SOVA (apodada v5) en agosto de 2022.
Curiosamente, los autores de Nexus han establecido reglas explícitas que prohíben el uso de su malware en Azerbaiyán, Armenia, Bielorrusia, Kazajstán, Kirguistán, Moldavia, Rusia, Tayikistán, Uzbekistán, Ucrania e Indonesia.
El malware, al igual que otros troyanos bancarios, contiene funciones para apoderarse de cuentas relacionadas con servicios bancarios y de criptomonedas realizando ataques de superposición y registro de teclas para robar las credenciales de los usuarios.
Además, es capaz de leer códigos de autenticación de dos factores (2FA) de mensajes SMS y la aplicación Google Authenticator a través del abuso de los servicios de accesibilidad de Android.
Algunas de las nuevas incorporaciones a la lista de funcionalidades son su capacidad para eliminar los mensajes SMS recibidos, activar o detener el módulo de ladrón 2FA y actualizarse haciendo ping periódicamente a un servidor de comando y control (C2).
«El modelo [Malware-as-a-Service] permite a los delincuentes monetizar su malware de manera más eficiente al proporcionar una infraestructura lista para usar a sus clientes, quienes luego pueden usar el malware para atacar a sus objetivos», dijeron los investigadores.
El desarrollo se produce cuando se descubrió una versión actualizada de un malware de robo de información de Windows llamado BlackGuard con funcionalidad de clipper , la capacidad de propagarse a través de medios extraíbles y dispositivos compartidos, e incluso descargar y ejecutar cargas útiles adicionales.
Fuente y redacción: thehackernews.com
