Nexus Banking Trojan pode roubar códigos 2FA

Foi descoberto um novo Trojan bancário para Android chamado Nexus, que já foi utilizado por vários cibercriminosos para atingir aproximadamente 450 aplicativos financeiros e se envolver em atividades fraudulentas.

A Cleafy, uma empresa italiana de segurança cibernética, afirmou em um relatório divulgado esta semana que o Nexus parece estar em seus estágios iniciais de desenvolvimento, mas possui todos os recursos necessários para realizar ataques de controle de conta (ATO) contra portais bancários e serviços de criptomoeda. Por uma taxa mensal de US$ 3.000, o Trojan é anunciado como um serviço de assinatura para clientes e foi documentado pela primeira vez pela Cyble no início deste mês. O malware pode ter sido usado em ataques reais já em junho de 2022, apesar de ter sido anunciado oficialmente em portais da darknet seis meses depois.

De acordo com Rohit Bansal, um pesquisador de segurança, e os autores de malware em seu canal Telegram, a maioria das infecções Nexus foi relatada na Turquia. Curiosamente, os criadores do Nexus impuseram regulamentos explícitos proibindo o uso de seu malware em vários países, incluindo Azerbaijão, Armênia, Bielorrússia, Cazaquistão, Quirguistão, Moldávia, Rússia, Tadjiquistão, Uzbequistão, Ucrânia e Indonésia.

O malware possui recursos típicos de trojans bancários, como ataques de sobreposição e keylogging, para sequestrar contas vinculadas a serviços bancários e de criptomoedas, roubando as credenciais dos usuários. Além disso, ele tem a capacidade de ler códigos de autenticação de dois fatores (2FA) de mensagens SMS e do aplicativo Google Authenticator usando os serviços de acessibilidade do Android. Ele também pode remover mensagens SMS, ativar ou desativar o módulo ladrão 2FA e atualizar-se executando ping em um servidor de comando e controle (C2) em intervalos regulares, entre outras novas funções.

Como funciona a maioria dos Trojans bancários?

A maioria dos trojans bancários é projetada para se infiltrar no computador ou dispositivo móvel da vítima e roubar informações financeiras confidenciais, como credenciais de login, números de cartão de crédito e outros detalhes bancários. Eles normalmente operam utilizando várias táticas, incluindo ataques de phishing, anexos maliciosos e downloads de software infectado.

Uma vez instalado, o trojan geralmente fica à espreita, coletando dados sobre as atividades bancárias do usuário e outras informações confidenciais, como endereços de e-mail e senhas. Muitos trojans bancários também são capazes de sequestrar sessões da web, o que permite que o invasor assuma o controle das atividades bancárias online da vítima.

Alguns trojans bancários têm recursos mais avançados, como registro de pressionamento de tecla, captura de tela e ataques de sobreposição. Um registrador de teclas registra todas as teclas digitadas no teclado, o que pode incluir credenciais de login e outras informações confidenciais. Uma função de captura de tela permite que o invasor grave a tela do computador do usuário, enquanto um ataque de sobreposição envolve a criação de uma página de login falsa sobreposta a um site bancário legítimo.

No geral, o principal objetivo da maioria dos trojans bancários é obter acesso não autorizado às contas bancárias das vítimas e roubar seu dinheiro. É importante permanecer vigilante quando se trata de segurança online e tomar medidas para proteger seus dispositivos e informações pessoais.