Un troyano bancario emergente de Android denominado Nexus ya ha sido adoptado por varios actores de amenazas para atacar 450 aplicaciones financieras y realizar fraudes."Nexus parece estar en sus primeras etapas de desarrollo", dijo la firma italiana de ciberseguridad Cleafy en un informe publicado esta semana.
"Nexus proporciona todas las características principales para realizar ataques ATO (Account Takeover) contra portales bancarios y servicios de criptomonedas, como el robo de credenciales y la interceptación de SMS".
El troyano, que apareció en varios foros de piratería a principios de año, se anuncia como un servicio de suscripción a su clientela por una tarifa mensual de $ 3,000. Los detalles del malware fueron documentados por primera vez por Cyble a principios de este mes.
Sin embargo, hay indicios de que el malware puede haber sido utilizado en ataques del mundo real ya en junio de 2022, al menos seis meses antes de su anuncio oficial en los portales de la red oscura.
Según el investigador de seguridad Rohit Bansal (@0xrb) y confirmado por los autores del malware en su propio canal de Telegram, la mayoría de las infecciones de Nexus se han reportado en Turquía.
También se dice que se superpone con otro troyano bancario llamado SOVA, reutilizando partes de su código fuente e incorporando un módulo de ransomware que parece estar en desarrollo activo.
Un punto que vale la pena mencionar aquí es que Nexus es el mismo malware que Cleafy clasificó inicialmente como una nueva variante de SOVA (denominado v5) en agosto de 2022.
Curiosamente, los autores de Nexus han establecido reglas explícitas que prohíben el uso de su malware en Azerbaiyán, Armenia, Bielorrusia, Kazajstán, Kirguistán, Moldavia, Rusia, Tayikistán, Uzbekistán, Ucrania e Indonesia.
El malware, al igual que otros troyanos bancarios, contiene características para hacerse cargo de las cuentas relacionadas con los servicios bancarios y de criptomonedas mediante la realización de ataques de superposición y registro de teclas para robar las credenciales de los usuarios.
Además, es capaz de leer códigos de autenticación de dos factores (2FA) de mensajes SMS y la aplicación Google Authenticator a través del abuso de los servicios de accesibilidad de Android.
Algunas nuevas adiciones a la lista de funcionalidades es su capacidad para eliminar los mensajes SMS recibidos, activar o detener el módulo ladrón 2FA y actualizarse haciendo ping periódicamente a un servidor de comando y control (C2).
"El modelo [Malware-as-a-Service] permite a los delincuentes monetizar su malware de manera más eficiente al proporcionar una infraestructura lista para usar a sus clientes, quienes luego pueden usar el malware para atacar a sus objetivos", dijeron los investigadores.
El desarrollo se produce cuando se ha descubierto en la naturaleza una versión actualizada de un malware de robo de información de Windows llamado BlackGuard con funcionalidad de clipper, la capacidad de propagarse a través de medios extraíbles y dispositivos compartidos, e incluso descargar y ejecutar cargas útiles adicionales.
Anuncio: Comparación de precios y seguimiento de precios de más de 600,000 productos: consulte Comparador de precios y ofertas online
- NGLTYQ?:uenta con su apoyo. Considere contribuir con el botón a continuación para seguir brindando contenido excelente.
Ya conoces nuestro canal de YouTube? ¡Suscríbete!
Te ha resultado útil esta información? Tus comentarios nos ayudan a mejorar esta web
Si te ha gustado esta información, por favor apoya nuestro trabajo y este sitio web: compartir o comentar este artículo es un buen comienzo!. Para cualquier duda puedes dejarnos su comentario recibirás una respuesta lo mas rápido posible.
Puedes seguirnos en Twitter o unirse a nuestro Fan Page Facebook , Grupo Facebook, Instagram, Suscribirte a nuestro canal de You Tube para mantenerse actualizado sobre lo último en tecnología móvil e informática en general
.png)
