I ricercatori di Cleafy hanno scoperto un nuovo trojan bancario per Android venduto in abbonamento con la classica formula MaaS (Malware-as-a-Service). Nonostante sia ancora in versione beta, Nexus è stato già utilizzato per diversi attacchi. Lo scopo principale è ottenere le credenziali di login per rubare denaro dai conti correnti e wallet di criptovalute.
Nexus: furto di credenziali e denaro
Nexus è apparso sui forum del dark web a fine gennaio. Il prezzo dell’abbonamento è 3.000 dollari/mese. L’autore afferma che il codice è originale, ma gli esperti di Trellix hanno trovato alcune similitudini con SOVA, un altro trojan bancario apparso online a metà 2021. Nexus viene utilizzato soprattutto per attacchi ATO (Account Takeover), ovvero per prendere il controllo degli account bancari.
La catena di infezione è quella standard. Le ignare vittime inseriscono le credenziali di login in una schermata simile a quella legittima. Nexus può inoltre intercettare i codici OTP inviati via SMS, se è attiva l’autenticazione in due fattori. Sfruttando i servizi di accessibilità di Android, il malware può anche rubare informazioni dai crypto wallet, i cookie dei siti web e i codici generati dall’app Google Authenticator.
Il server C2 (command and control), al quale sono inviati i dati, viene usato anche per l’aggiornamento automatico del trojan. Nel codice ci sono riferimenti alla crittografia, ma difficilmente verrà aggiunto un modulo ransomware, visto che non ha molta efficacia sui dispositivi mobile.
Gli abbonati possono gestire tutte le attività attraverso un pannello web, come la personalizzazione del malware e il monitoraggio degli attacchi. I cybercriminali possono scegliere tra oltre 450 app bancarie. Essendo in versione beta, l’autore aggiungerà sicuramente altre funzionalità.