Nexus malware: Un nuevo troyano bancario para Android que representa una amenaza real

El malware Nexus es un troyano bancario para Android promovido a través de un modelo de malware como servicio (MaaS, por sus siglas en inglés). Según una investigación reciente de Cleafy, un proveedor italiano de soluciones de ciberseguridad, el malware ha sido anunciado en varios foros clandestinos de cibercrimen desde enero de 2023.

Nexus malware: Un nuevo troyano bancario para Android que representa una amenaza real - Seguridad | Imagen 1 Newsmatic

En un anuncio en uno de estos foros, se describe el proyecto de malware como "muy nuevo" y "en desarrollo continuo". Otros mensajes del autor de Nexus en el mismo hilo indican que el código del malware ha sido creado desde cero. Es interesante destacar que los autores prohíben el uso del malware en Rusia y en los países de la Comunidad de Estados Independientes.

Índice de Contenido
  1. Potencial impacto del malware Nexus Android
  2. Análisis técnico del malware Nexus Android
    1. Panel web de Nexus Android
  3. Similitudes con el malware de banca Android SOVA
  4. Cómo protegerse contra esta amenaza de malware Nexus Android

Potencial impacto del malware Nexus Android

El número de servidores de control de Nexus está aumentando y la amenaza se está intensificando. Según Cleafy Labs, se encontraron más de 16 servidores en 2023 que controlan Nexus, probablemente utilizados por varios afiliados del programa MaaS.

Según los investigadores de Cleafy, "la ausencia de un módulo VNC limita su alcance y sus capacidades; sin embargo, según la tasa de infección obtenida de varios paneles C2 [Command & Control], Nexus es una amenaza real capaz de infectar cientos de dispositivos en todo el mundo".

Nexus se vende por $3,000 USD al mes a través de una suscripción a MaaS, lo que lo convierte en una oportunidad interesante para los cibercriminales que no tienen la experiencia para desarrollar malware o encriptarlo de manera que evite las soluciones antivirus.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Análisis técnico del malware Nexus Android

El malware Nexus se ejecuta en sistemas operativos Android y tiene varias funcionalidades de interés para los cibercriminales.

Se pueden llevar a cabo ataques de adquisición de cuentas utilizando el malware Nexus. Nexus cuenta con una lista exhaustiva de 450 páginas de inicio de sesión de aplicaciones financieras para robar las credenciales de los usuarios. También es capaz de realizar ataques de superposición y registrar las actividades de los usuarios mediante "keyloggers".

Los ataques de superposición son muy populares en los troyanos bancarios para dispositivos móviles. Consisten en colocar una ventana encima de una aplicación legítima para solicitar al usuario sus credenciales y robarlas. Los ataques de superposición también pueden robar cookies de sitios específicos, generalmente para el abuso de cookies de sesión. Además, el malware Nexus Android puede robar información de billeteras de criptomonedas.

VER: Política de seguridad de dispositivos móviles (Newsmatic Premium)

El malware tiene capacidades de interceptación de SMS, que se pueden utilizar para evadir la autenticación de dos factores, robando los códigos de seguridad que se envían al teléfono móvil de la víctima. Nexus también puede robar códigos de autenticación de dos factores de la aplicación Google Authenticator.

Al comparar el código de dos binarios de Nexus diferentes de septiembre de 2022 y marzo de 2023, los investigadores de Cleafy encontraron que el desarrollador del malware sigue trabajando activamente en él. Han aparecido nuevas características, como la capacidad de eliminar un SMS recibido en el teléfono móvil de la víctima o activar/desactivar la capacidad del malware para robar códigos de autenticación de dos factores.

Cómo proteger tu computadora de los virus: métodos y consejos

El malware Nexus se actualiza regularmente al verificar un servidor C2 para obtener el número de la última versión. Si el valor recibido no coincide con el actual, el malware lanza automáticamente su actualización.

Cleafy Labs indicó que se encontraron capacidades de encriptación en varias muestras de Nexus, pero parece que esas capacidades aún están en desarrollo y no se han utilizado todavía. Si bien este código podría formar parte de un esfuerzo por producir ransomware, los investigadores estimaron que podría ser el resultado de actividades de copiar y pegar deficientes involucradas en muchas partes del código. También podría estar en desarrollo para una capacidad destructiva que vuelva inutilizable al sistema operativo después de ser utilizado para actividades delictivas.

Como señalaron los investigadores de Cleafy Labs, "es difícil pensar en un modus operandi de ransomware en dispositivos móviles, ya que la mayoría de la información almacenada se sincroniza con servicios en la nube y se puede recuperar fácilmente".

Panel web de Nexus Android

Los atacantes controlan todo el malware instalado en los teléfonos móviles de las víctimas mediante un panel de control web. El panel muestra 450 objetivos financieros y ofrece la posibilidad de que los atacantes expertos creen más código de inyección personalizado para atacar aplicaciones adicionales.

Ese panel permite a los atacantes ver el estado de todos los dispositivos infectados y obtener estadísticas sobre el número de dispositivos infectados. También pueden recopilar datos robados de los dispositivos, como credenciales de inicio de sesión, cookies, información de tarjetas de crédito y otra información sensible. Toda esa información se puede obtener desde la interfaz y se guarda para un uso fraudulento.

Además, el panel web contiene un generador que se puede utilizar para crear configuraciones personalizadas para el malware Nexus.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Similitudes con el malware de banca Android SOVA

Un análisis minucioso del malware realizado por Cleafy Labs ha revelado similitudes de código entre las muestras de Nexus y SOVA, otro troyano bancario para Android que surgió a mediados de 2021. Aunque el autor de Nexus afirma que fue desarrollado desde cero, es posible que se hayan reutilizado fragmentos de código de SOVA.

El desarrollador de SOVA, apodado "sovenok", afirmó recientemente que un afiliado que anteriormente alquilaba SOVA había robado todo el código fuente del proyecto. Se hizo mención a otro apodo, "Poison", que parece estar relacionado con el proyecto de malware Nexus.

La mayoría de los comandos de SOVA fueron reutilizados en Nexus, y algunas funciones se desarrollaron de la misma manera.

Cómo protegerse contra esta amenaza de malware Nexus Android

Dado que se desconoce el vector de infección inicial, es importante tratar de protegerse contra la infección de malware en todos los niveles en los teléfonos inteligentes Android:

  • Implementar una solución de gestión de dispositivos móviles: Esto le permite administrar y controlar de forma remota los dispositivos corporativos, incluyendo la instalación de actualizaciones de seguridad y la aplicación de políticas de seguridad.
  • Utilizar software antivirus confiable: Además, mantener el sistema operativo y todo el software completamente actualizado y parcheado para evitar compromisos debido a vulnerabilidades comunes.
  • Avoid unknown stores: Las tiendas desconocidas generalmente no tienen procesos de detección de malware, a diferencia de las tiendas oficiales de software móvil. Recuerde a todos los usuarios que no instalen software que provenga de fuentes no confiables.
  • Revisar cuidadosamente los permisos solicitados al instalar una aplicación: Las aplicaciones solo deben solicitar los permisos necesarios para su funcionamiento, por ejemplo, un escáner de códigos QR no debería pedir permiso para enviar SMS. Antes de instalar una aplicación, revise qué privilegios requiere.
  • Capacitar a los empleados sobre el uso seguro de dispositivos móviles: Brinde capacitación a los empleados sobre cómo reconocer y evitar aplicaciones, enlaces y archivos adjuntos malignos, y anímelos a informar cualquier actividad sospechosa.

Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Nexus malware: Un nuevo troyano bancario para Android que representa una amenaza real , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.