Apelidado de Nexus, o trojan para Android tem sido usado por diversos grupos de hackers, afetando cerca de 450 aplicativos bancários. “O Nexus parece estar em seus estágios iniciais de desenvolvimento“, informou a empresa italiana de segurança cibernética Clearfy, em um report publicado esta semana.
“O Nexus fornece todos os principais recursos para realizar ataques ATO (Account Takeover ou Invasão de Contas) contra portais bancários e serviços de criptomoedas, bem como o roubo de credenciais e interceptação de mensagens SMS.”
O trojan, que apareceu em vários grupos de hackers no início do ano, foi anunciado como um serviço de assinatura para futuros clientes, a uma taxa mensal de 3 mil dólares. Os detalhes do malware foram documentados pela empresa Cyble no início do mês de março.
Conforme o pesquisador de segurança Rohit Bansal (@0xrb) relatou e confirmado pelos autores do malware em seu próprio canal do Telegram, a maioria das infecções do Nexus foram reportadas na Turquia.
Curiosamente, os autores do Nexus estabeleceram regras explícitas que proíbem o uso de seu malware no Azerbaijão, Armênia, Bielorrússia, Cazaquistão, Quirguistão, Moldávia, Rússia, Tadjiquistão, Uzbequistão, Ucrânia e Indonésia.
O malware, assim com outros trojans bancários, contém recursos para controlar contas relacionadas a serviços bancários e criptomoedas, realizando ataques de sobreposição (Overlay Attacks) e keylogging para roubar as credenciais dos usuários. Além disso, é capaz de ler códigos de autenticação de dois fatores (2FA) de mensagens SMS e do aplicativo Google Authenticator, por meio do abuso dos serviços de acessibilidade do Android.
Malware FakeCalls finje ser app bancário
Algumas novas funcionalidades são a capacidade de remover mensagens SMS recebidas, ativar ou desativar o módulo “ladrão” (stealer) do 2FA e atualizar-se periodicamente efetuando um ping em um servidor de comando e controle (C2).
“Este modelo conhecido como Malware-as-a-Service ou Malware-como-um-serviço, permite que cibercriminosos monetizem seu malware com mais eficiência, fornecendo uma estrutura pronta para seus clientes, que podem usar o malware para atacar seus alvos“, disse o pesquisador.
Créditos:
https://thehackernews.com/2023/03/nexus-new-rising-android-banking-trojan.html
Créditos da imagem na capa do post: