Un troyano bancario Android emergente denominado Nexo ya ha sido adoptado por varios actores de amenazas para apuntar a 450 aplicaciones financieras y realizar fraudes.
«Nexus parece estar en sus primeras etapas de desarrollo», firma italiana de ciberseguridad Cleafy dicho en un informe publicado esta semana.
«Nexus proporciona todas las funciones principales para realizar ataques ATO (Adquisición de cuenta) contra portales bancarios y servicios de criptomonedas, como el robo de credenciales y la interceptación de SMS».
El troyano, que apareció en varios foros de piratería a principios de año, se anuncia como un servicio de suscripción para su clientela por una tarifa mensual de 3.000 dólares. Los detalles del malware fueron documentados por primera vez por Cyble a principios de este mes.
Sin embargo, hay indicios de que el malware puede haber sido utilizado en ataques del mundo real desde junio de 2022, al menos seis meses antes de su anuncio oficial en los portales de la red oscura.
También se dice que se superpone con otro troyano bancario denominado SOVA, reutilizando partes de su código fuente e incorporando un módulo de ransomware que parece estar en desarrollo activo.
Un punto que vale la pena mencionar aquí es que Nexus es el mismo malware que Cleafy clasificó inicialmente como una nueva variante de SOVA (apodada v5) en agosto de 2022.
Curiosamente, los autores de Nexus han establecido reglas explícitas que prohíben el uso de su malware en Azerbaiyán, Armenia, Bielorrusia, Kazajstán, Kirguistán, Moldavia, Rusia, Tayikistán, Uzbekistán, Ucrania e Indonesia.
El malware, al igual que otros troyanos bancarios, contiene funciones para apoderarse de cuentas relacionadas con servicios bancarios y de criptomonedas realizando ataques de superposición y registro de teclas para robar las credenciales de los usuarios.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
Además, es capaz de leer códigos de autenticación de dos factores (2FA) de mensajes SMS y la aplicación Google Authenticator a través del abuso de los servicios de accesibilidad de Android.
Algunas de las nuevas incorporaciones a la lista de funcionalidades son su capacidad para eliminar los mensajes SMS recibidos, activar o detener el módulo de ladrón 2FA y actualizarse haciendo ping periódicamente a un servidor de comando y control (C2).
«El [Malware-as-a-Service] El modelo permite a los delincuentes monetizar su malware de manera más eficiente al proporcionar una infraestructura lista para usar a sus clientes, quienes luego pueden usar el malware para atacar a sus objetivos», dijeron los investigadores.