El troyano bancario Nexus puede robar códigos 2FA
Se ha descubierto un nuevo troyano bancario para Android llamado Nexus, que ya ha sido utilizado por varios ciberdelincuentes para apuntar a aproximadamente 450 aplicaciones financieras y participar en actividades fraudulentas.
Cleafy, una empresa italiana de ciberseguridad, declaró en un informe publicado esta semana que Nexus parece estar en sus primeras etapas de desarrollo, pero tiene todas las características necesarias para llevar a cabo ataques de apropiación de cuentas (ATO) contra portales bancarios y servicios de criptomonedas. Por una tarifa mensual de $ 3,000, el troyano se anuncia como un servicio de suscripción para clientes, y Cyble lo documentó por primera vez a principios de este mes. Es posible que el malware se haya utilizado en ataques reales desde junio de 2022, a pesar de que se anunció oficialmente en los portales de la red oscura seis meses después.
Según Rohit Bansal, un investigador de seguridad, y los autores del malware en su canal de Telegram, la mayoría de las infecciones de Nexus han sido reportadas en Turquía. Curiosamente, los creadores de Nexus han impuesto normas explícitas que prohíben el uso de su malware en varios países, incluidos Azerbaiyán, Armenia, Bielorrusia, Kazajstán, Kirguistán, Moldavia, Rusia, Tayikistán, Uzbekistán, Ucrania e Indonesia.
El malware tiene características típicas de troyanos bancarios, como ataques de superposición y registro de teclas, para secuestrar cuentas vinculadas a servicios bancarios y de criptomonedas mediante el robo de las credenciales de los usuarios. Además, tiene la capacidad de leer códigos de autenticación de dos factores (2FA) de mensajes SMS y la aplicación Google Authenticator utilizando los servicios de accesibilidad de Android. También puede eliminar mensajes SMS, activar o desactivar el módulo de robo 2FA y actualizarse haciendo ping a un servidor de comando y control (C2) a intervalos regulares, entre otras funciones nuevas.
¿Cómo funcionan la mayoría de los troyanos bancarios?
La mayoría de los troyanos bancarios están diseñados para infiltrarse en la computadora o el dispositivo móvil de la víctima y robar información financiera confidencial, como credenciales de inicio de sesión, números de tarjetas de crédito y otros datos bancarios. Por lo general, operan utilizando varias tácticas, incluidos ataques de phishing, archivos adjuntos maliciosos y descargas de software infectado.
Una vez instalado, el troyano a menudo estará al acecho, recopilando datos sobre las actividades bancarias del usuario y otra información confidencial, como direcciones de correo electrónico y contraseñas. Muchos troyanos bancarios también son capaces de secuestrar sesiones web, lo que permite al atacante tomar el control de las actividades bancarias en línea de la víctima.
Algunos troyanos bancarios tienen funciones más avanzadas, como registro de pulsaciones de teclas, captura de pantalla y ataques superpuestos. Un registrador de pulsaciones de teclas registra todas las pulsaciones de teclas ingresadas en el teclado, lo que podría incluir credenciales de inicio de sesión y otra información confidencial. Una función de captura de pantalla permite al atacante grabar la pantalla de la computadora del usuario, mientras que un ataque de superposición implica la creación de una página de inicio de sesión falsa que se superpone en la parte superior de un sitio web bancario legítimo.
En general, el objetivo principal de la mayoría de los troyanos bancarios es obtener acceso no autorizado a las cuentas bancarias de las víctimas y robar su dinero. Es importante mantenerse alerta en lo que respecta a la seguridad en línea y tomar medidas para proteger sus dispositivos e información personal.
