Nexus Banking Trojan può rubare i codici 2FA
È stato scoperto un nuovo trojan bancario Android chiamato Nexus, che è già stato utilizzato da diversi criminali informatici per prendere di mira circa 450 app finanziarie e impegnarsi in attività fraudolente.
Cleafy, una società italiana di sicurezza informatica, ha dichiarato in un rapporto pubblicato questa settimana che Nexus sembra essere nelle sue prime fasi di sviluppo, ma ha tutte le funzionalità necessarie per condurre attacchi di Account Takeover (ATO) contro portali bancari e servizi di criptovaluta. Per una tariffa mensile di $ 3.000, il Trojan è pubblicizzato come servizio in abbonamento per i clienti ed è stato documentato per la prima volta da Cyble all'inizio di questo mese. Il malware potrebbe essere stato utilizzato in attacchi reali già nel giugno 2022, nonostante sia stato annunciato ufficialmente sui portali darknet sei mesi dopo.
Secondo Rohit Bansal, un ricercatore di sicurezza, e gli autori di malware nel loro canale Telegram, la maggior parte delle infezioni Nexus sono state segnalate in Turchia. È interessante notare che i creatori di Nexus hanno imposto regolamenti espliciti che vietano l'uso del loro malware in diversi paesi, tra cui Azerbaigian, Armenia, Bielorussia, Kazakistan, Kirghizistan, Moldavia, Russia, Tagikistan, Uzbekistan, Ucraina e Indonesia.
Il malware ha caratteristiche tipiche dei trojan bancari, come attacchi overlay e keylogging, per dirottare account collegati a servizi bancari e di criptovaluta rubando le credenziali degli utenti. Inoltre, ha la capacità di leggere i codici di autenticazione a due fattori (2FA) dai messaggi SMS e dall'app Google Authenticator utilizzando i servizi di accessibilità di Android. Può anche rimuovere i messaggi SMS, attivare o disattivare il modulo stealer 2FA e aggiornarsi eseguendo il ping di un server di comando e controllo (C2) a intervalli regolari, tra le altre nuove funzioni.
Come funzionano la maggior parte dei trojan bancari?
La maggior parte dei trojan bancari è progettata per infiltrarsi nel computer o nel dispositivo mobile di una vittima e rubare informazioni finanziarie sensibili come credenziali di accesso, numeri di carte di credito e altri dettagli bancari. In genere operano utilizzando diverse tattiche, inclusi attacchi di phishing, allegati dannosi e download di software infetti.
Una volta installato, il trojan rimane spesso in agguato, raccogliendo dati sulle attività bancarie dell'utente e altre informazioni sensibili, come indirizzi e-mail e password. Molti trojan bancari sono anche in grado di dirottare le sessioni Web, il che consente all'aggressore di assumere il controllo delle attività bancarie online della vittima.
Alcuni trojan bancari hanno funzionalità più avanzate come la registrazione dei tasti, la cattura dello schermo e gli attacchi di sovrapposizione. Un registratore di tasti registra tutti i tasti premuti sulla tastiera, che potrebbero includere credenziali di accesso e altre informazioni sensibili. Una funzione di cattura dello schermo consente all'attaccante di registrare lo schermo del computer dell'utente, mentre un attacco di sovrapposizione comporta la creazione di una falsa pagina di accesso che viene sovrapposta a un sito Web bancario legittimo.
Nel complesso, l'obiettivo principale della maggior parte dei trojan bancari è ottenere l'accesso non autorizzato ai conti bancari delle vittime e rubare i loro soldi. È importante rimanere vigili quando si tratta di sicurezza online e adottare misure per proteggere i dispositivi e le informazioni personali.
