Un nuevo troyano bancario para Android ha sido descubierto en varias campañas maliciosas en todo el mundo. Apodado ‘Nexus’ por los investigadores de seguridad de Cleafy, la herramienta se promociona como parte de una suscripción de Malware-as-a-Service (MaaS) y proporciona funciones para realizar ataques de toma de control de cuentas (ATO).
“En enero de 2023, un nuevo troyano bancario para Android apareció en varios foros de piratas informáticos bajo el nombre de Nexus”, escribió la empresa en un aviso publicado el martes. “Sin embargo, [nosotros] rastreamos las primeras infecciones de Nexus mucho antes del anuncio público en junio de 2022”.
Analizando muestras de Nexus el año pasado, Cleafy observó similitudes de código entre el malware y SOVA, un troyano bancario para Android descubierto a mediados de 2021. En ese momento, el equipo creyó que Nexus era una versión actualizada de SOVA.
En cuanto a las características que facilitan las operaciones ATO, Nexus ofrece ataques de superposición y actividades de keylogging diseñadas para robar las credenciales de las víctimas. También puede robar mensajes SMS (para obtener códigos de autenticación de dos factores) e información de carteras de criptomonedas.
El malware también incluye un módulo capaz de cifrar, posiblemente ransomware.
“Este módulo parece estar en desarrollo debido a la presencia de cadenas de depuración y la falta de referencias de uso”, aclaró la compañía.
En términos más generales, Cleafy señaló que la ausencia de un módulo de computación virtual en red (VNC) (que permitiría el acceso remoto) limita actualmente el radio de acción y las capacidades de Nexus.
Info – Ciberseguridad Latam