Un actor de amenazas se dirige a clientes de 450 bancos y servicios de criptomonedas en todo el mundo con un peligroso troyano de Android que tiene múltiples funciones para secuestrar cuentas en línea y potencialmente desviar fondos de ellas.
Los autores del llamado troyano de Android "Nexus" han puesto el malware a disposición de otros actores de amenazas a través de un programa de malware como servicio (MaaS) recientemente anunciado donde las personas y los grupos pueden alquilar o suscribirse al malware y usarlo en sus propios ataques.
Los investigadores de la firma italiana de ciberseguridad Cleafy vieron por primera vez a Nexus en junio de 2022, pero en ese momento lo evaluaron como un variante de rápida evolución de otro troyano bancario para Android que rastreaban como "Sova". El malware contenía varios fragmentos de código Sova y tenía capacidades en ese momento para apuntar a más de 200 aplicaciones de banca móvil, criptomonedas y otras aplicaciones financieras. Los investigadores de Cleafy observaron lo que asumieron que era la variante de Sova escondida en aplicaciones falsas con logotipos que sugerían que eran Amazon, Chrome, NFT y otras aplicaciones confiables.
<font style="vertical-align: inherit;" class="">Una de las</font>
Nexus es uno de varios troyanos bancarios para Android que han surgido en los últimos meses y se han sumado a la ya gran cantidad de herramientas similares actualmente en circulación. A principios de este mes, por ejemplo, investigadores de Cyble informaron haber observado Nuevo malware para Android llamado GoatRAT apuntando a un sistema de pago automatizado móvil introducido recientemente en Brasil. En diciembre de 2022, Cyble detectó otro troyano bancario de Android, rastreado como "Padrino", que resurgió después de una pausa con nuevas funciones avanzadas de ofuscación y antidetección. Los investigadores cibernéticos encontraron el malware disfrazado de malware legítimo en la tienda Google Play. Las dos variantes de malware son apenas la punta del iceberg. Un análisis de Kaspersky mostró que en 200,000 aparecieron unos 2022 nuevos troyanos bancarios, lo que representa un 100% de aumento con respecto a 2021.
Federico Valentini, jefe del equipo de inteligencia de amenazas de Cleafy, dice que no está claro cómo los actores de amenazas están entregando Nexus en dispositivos Android. “No teníamos acceso a detalles específicos sobre el vector de infección inicial de Nexus, ya que nuestra investigación se centró principalmente en analizar su comportamiento y capacidades”, dice Valentini. “Sin embargo, según nuestra experiencia y conocimiento de malware similar, es común que los troyanos bancarios se entreguen a través de esquemas de ingeniería social como smishing”, dice, refiriéndose al phishing a través de mensajes de texto SMS.
En enero de 2023, los investigadores de Cleafy detectaron el malware, ahora más evolucionado, que aparecía en varios foros de piratería con el nombre Nexus. Poco después, los autores del malware comenzaron a poner el malware a disposición de otros actores de amenazas a través de su nuevo programa MaaS por relativamente $3,000 al mes.
Múltiples funciones para la adquisición de cuentas
El análisis de Cleafy de Nexus mostró que el malware contiene varias funciones para permitir la toma de control de la cuenta. Entre ellos se encuentra una función para realizar ataques de superposición y registrar pulsaciones de teclas para robar credenciales de usuario. Cuando un cliente de una aplicación bancaria o de criptomonedas de destino, por ejemplo, intenta acceder a su cuenta utilizando un dispositivo Android comprometido, Nexus muestra una página que se ve y funciona exactamente como la página de inicio de sesión de la aplicación real. Luego, el malware usa su función de registro de teclas para capturar las credenciales de la víctima tal como se ingresaron en la página de inicio de sesión.
Al igual que muchos troyanos bancarios, Nexus puede interceptar mensajes SMS para obtener códigos de autenticación de dos factores para acceder a cuentas en línea. Cleafy descubrió que Nexus era capaz de abusar de la función de Servicios de accesibilidad de Android para robar semillas y equilibrar información de billeteras de criptomonedas, cookies de sitios web de interés y códigos de dos factores de la aplicación Autenticador de Google.
Los autores del malware también parecen haber agregado nuevas funcionalidades a Nexus que no estaban presentes en la versión que Cleafy observó el año pasado y que inicialmente asumió que era una variante de Sova. Una de ellas es una función que elimina silenciosamente los mensajes SMS de autenticación de dos factores recibidos y otra es una función para detener o activar el módulo para robar códigos 2FA de Google Authenticator. La última variante de Nexus también tiene una función para verificar periódicamente su servidor de comando y control (C2) en busca de actualizaciones y para instalar automáticamente cualquiera que pueda estar disponible. Un módulo que parece estar todavía en desarrollo sugiere que los autores podrían implementar una capacidad de encriptación en el malware con mayor probabilidad de ofuscar sus rastros después de completar una apropiación de cuenta.
¿Un trabajo en progreso?
Valentini dice que la investigación de Cleafy sugiere que Nexus ha comprometido potencialmente a cientos de sistemas. “Lo que es particularmente digno de mención es que las víctimas no parecen estar concentradas en una región geográfica en particular, sino que están bien distribuidas a nivel mundial”.
A pesar de las muchas funciones del malware para hacerse cargo de las cuentas financieras en línea, los investigadores de Cleafy evaluaron que Nexus todavía era un trabajo en progreso. Una indicación, según el proveedor de seguridad, es la presencia de cadenas de depuración y la falta de referencias de uso en ciertos módulos del malware. Otro obsequio es la cantidad relativamente alta de mensajes de registro en el código, lo que sugiere que los autores todavía están en el proceso de rastrear e informar sobre todas las acciones que realiza el malware, dijo Cleafy.
En particular, el malware en su avatar actual no incluye un módulo de computación de red virtual, o VNC, que le daría al atacante una forma de tomar el control remoto completo de un dispositivo infectado con Nexus. “El módulo VNC permite a los actores de amenazas realizar fraudes en el dispositivo, uno de los tipos de fraude más peligrosos, ya que las transferencias de dinero se inician desde el mismo dispositivo que utilizan las víctimas a diario”.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/mobile/new-android-malware-targets-customers-of-450-financial-institutions-worldwide
