Nexus, troyano-que alcanza estatus de malware-as-a-Service

La versión recientemente evolucionada de Nexus se ha dirigido a más de 450 bancos y servicios de criptomonedas.  Ya se descubrió que múltiples actores de amenazas están utilizando Nexus para realizar campañas fraudulentas.

Por: Shweta Sharma | Original de IDGN

La firma italiana de ciberseguridad Cleafy descubrió que “Nexus”, un nuevo troyano de Android capaz de secuestrar cuentas en línea y desviar fondos de ellas, se dirige a clientes de 450 bancos y servicios de criptomonedas en todo el mundo.

Nexus, observado por primera vez en junio de 2.022 como una variante de SOVA – otro troyano bancario para Android – ha mejorado desde entonces las capacidades de focalización y está disponible a través de un programa de malware como servicio (MaaS) por US$ 3.000 al mes. 

Permite, además, que otros atacantes alquilen o se suscríban al malware para ataques personales.

Múltiples campañas activas en todo el mundo confirman que distintos actores de amenazas ya están utilizando este hilo para realizar campañas fraudulentas, según el informe de Cleafy.

Nexus hackea los controles de Android para robar las credenciales de los usuarios

Cleafy observó que Nexus empleaba varias técnicas para hacerse cargo de la cuenta.  

Una de estas técnicas consiste en realizar ataques de superposición y registrar pulsaciones de teclas para robar las credenciales de los usuarios.  

Cuando un cliente de una aplicación bancaria o de criptomonedas específica usa su dispositivo Android comprometido, Nexus lo redirige a una página que se hace pasar por la página de inicio de sesión de la aplicación genuina y obtiene las credenciales de la víctima mediante un registrador de teclas integrado.

Nexus, como muchos troyanos bancarios, puede obtener acceso a cuentas en línea tomando códigos de autenticación de dos factores de un SMS interceptado.  

Se descubrió, también, que el troyano estaba robando 

• semillas e información de saldo de billeteras de criptomonedas 
• cookies de sitios web específicos 
• y códigos de dos factores de la aplicación Authenticator de Google 
• utilizando las funciones de “Servicios de accesibilidad” de Android

Cleafy descubrió que Nexus había desarrollado capacidades más nuevas – ausentes en la variante SOVA del año pasado – incluidas las de: 

• eliminar mensajes SMS de autenticación recibidos
• detener o activar el módulo para robar códigos 2FA de Google Authenticator 
• y verificar periódicamente su propio servidor de comando y control  (C2) para actualizaciones 
• así cono para instalar automáticamente cualquiera que pueda estar disponible

Módulos con obsequios para aficionados aún luchando por la perfección

A pesar de su versatilidad para adquisiciones de cuentas y alcance global, Cleafy designa a Nexus como un “trabajo en progreso”.  

Esto se debe – principalmente – a la presencia de cadenas de depuración y la falta de referencias de uso en ciertos módulos del malware.

La cantidad relativamente alta de mensajes de registro en el código sugiere un seguimiento y un informe inadecuados de las acciones del mismo.  

Además, la versión actual del troyano no cuenta con un módulo de computación de red virtual (VNC) para una toma de control remota completa de un dispositivo infectado con Nexus.

Según el informe, el módulo VNC permite a los actores de amenazas realizar fraude en el dispositivo, uno de los tipos más peligrosos, ya que las transferencias de dinero se inician desde el mismo equipo que utilizan las víctimas a diario.

Un módulo aún en desarrollo, como observó Cleafy, parece tener capacidades de encriptación principalmente con el fin de ofuscar después de una adquisición completa de la cuenta.