A empresa italiana de segurança cibernética, Cleafy, descobriu o Nexus Android Trojan que pode seqüestrar contas online e retirar fundos delas. Descobriu-se que o Nexus tem como alvo clientes de 450 bancos e serviços de criptomoeda em todo o mundo.
Foi observado pela primeira vez em junho de 2022 como uma variante de outro Trojan bancário Android chamado SOVA. Desde então, o Nexus melhorou seus recursos de segmentação e está disponível por meio de um programa de malware como serviço por US$ 3.000 por mês. O malware permite que outros invasores o aluguem ou assinem para ataques pessoais.
De acordo com um relatório de Cleafy, várias campanhas estão ativas em todo o mundo, confirmando que vários agentes de ameaças já estão usando esse tópico para conduzir campanhas fraudulentas. O Nexus emprega várias técnicas para aquisição de contas, incluindo a realização de ataques de sobreposição e registro de pressionamentos de tecla para roubar credenciais do usuário.
Quando um cliente de um aplicativo bancário ou de criptomoeda alvo usa seu dispositivo Android comprometido, o Nexus o redireciona para uma página disfarçada de página de login de um aplicativo genuíno e obtém as credenciais da vítima usando um keylogger embutido.
Como funciona o Nexus Android Trojan?
Como muitos Trojans bancários, o Nexus Android Trojan pode obter acesso a contas online interceptando códigos de autenticação de dois fatores de um SMS. O cavalo de Tróia também foi encontrado para roubar sementes e informações de saldo de carteiras de criptomoedascookies de sites direcionados e códigos de dois fatores do aplicativo Google Authenticator usando os recursos de “Serviços de acessibilidade” do Android.
Cleafy descobriu que Nexus Android Trojan desenvolveu recursos mais recentes, incluindo habilidades para excluir mensagens SMS de autenticação recebidas, parar ou ativar o módulo para roubando códigos 2FA do Google Authenticatore verificar periodicamente seu próprio servidor de comando e controle para atualizações e instalar automaticamente qualquer um que possa estar disponível.
Apesar de sua versatilidade para aquisição de contas e alcance global, Cleafy designa Nexus Android Trojan como um “trabalho em andamento”. Isso se deve principalmente à presença de strings de depuração e à falta de referências de uso em determinados módulos do malware.
O número relativamente alto de mensagens de registro no código sugere rastreamento e relatórios inadequados de ações de malware. Além disso, a versão atual do malware não possui um módulo Virtual Network Computing (VNC) para controle remoto completo de um dispositivo infectado pelo Nexus. O O módulo VNC permite que os agentes de ameaças executem fraudes no dispositivoque é um dos tipos de fraude mais perigosos, pois as transferências de dinheiro são iniciadas a partir do mesmo dispositivo usado diariamente pelas vítimas.
Um módulo ainda em desenvolvimento, conforme observado por Cleafy, parece ter recursos de criptografia principalmente para fins de ofuscação após uma aquisição completa da conta.
No geral, Nexus Android Trojan é um trojan perigoso que já foi usado em várias campanhas fraudulentas. Embora o malware ainda seja um trabalho em andamento, ele já demonstrou sua capacidade de aquisição de contas e alcance global, tornando-se uma séria ameaça para os usuários de serviços bancários móveis e criptomoedas.
Hoje em dia, especialmente com a crescente prevalência de moedas digitais, é muito importante se proteger desses vírus e trojans. Recentemente, o popular canal do YouTube Linus Tech Tips foi hackeado e os hackers tentaram fazer algum tipo de golpe de criptografia usando uma foto de Elon Musk.
Source: Nexus Android Trojan está de olho em suas carteiras criptográficas
