Un nuevo troyano bancario para Android, ‘Nexus’, se está explotando activamente en campañas maliciosas en todo el mundo. Este troyano forma parte de una herramienta de malware como servicio (MaaS) y permite realizar ataques para el robo de cuentas.

Investigadores de seguridad de Cleafy han emitido un comunicado en el que alertan de la aparición de este troyano bancario en varios foros de piratería desde el pasado mes de enero. No obstante, destacan que ya encontraron las primeras infecciones de Nexus mucho antes del anuncio público, en junio de 2022.

Al analizar muestras de Nexus el año pasado, los investigadores encontraron similitudes de código entre el malware y SOVA, un troyano bancario para Android descubierto a mediados de 2021. En ese momento, el equipo creía que Nexus era una versión actualizada de SOVA.

«A pesar del nuevo programa MaaS lanzado bajo el nombre Nexus, los autores pueden haber reutilizado algunas partes internas de SOVA para escribir nuevas funciones (y reescribir algunas de las existentes)», puntualizan desde Cleafy.

Además, el autor de SOVA ha empezado a operar recientemente bajo el alias de ‘sovenok’ y compartiendo ideas sobre Nexus y su relación con SOVA.

Las capacidades de ataque de Nexus

En cuanto a las características que facilitan las operaciones robo de cuentas, Nexus tiene capacidad para realizar ataques superpuestos y registrar la pulsación de teclas para robar las credenciales de las víctimas. También puede robar mensajes SMS con los que consigue códigos de autenticación de dos factores, e información de monederos de criptomonedas.

Además, desde Cleafy destacan que este troyano dispone de un mecanismo de actualización autónoma. Una función dedicada comprueba de forma asíncrona su servidor C2 en busca de actualizaciones cuando se está ejecutando el malware.

Asimismo, también cuenta con un módulo con capacidades para cifrar, posiblemente para su uso en ataques de ransomware. No obstante, los expertos señalan que este módulo parece estar en desarrollo debido a la presencia de cadenas de depuración y la falta de referencias de uso.

Pese a las posibilidades y el riesgo que conlleva Nexus, la ausencia de un módulo de computación de red virtual (VNC), que permitiría el acceso remoto, actualmente limita el rango de acción y sus capacidades. No obstante, desde Cleafy destacan que es una amenaza real capaz de infectar cientos de dispositivos en todo el mundo.

Para la firma, Nexus podría dar mucho de qué hablar en los próximos meses.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre

dos + 19 =