Um novo Trojan bancário para Android foi descoberto em várias campanhas maliciosas em todo o mundo. Apelidada de Nexus pelos pesquisadores de segurança da Cleafy, a ferramenta é promovida como parte de uma assinatura de malware-as-a-service (MaaS) e fornece recursos para executar ataques de controle de conta (ATO).
“Em janeiro, um novo trojan bancário para Android apareceu em vários fóruns de hackers com o nome de Nexus”, escreveu a empresa em um comunicado publicado na terça-feira, 21. “No entanto, [nós] rastreamos as primeiras infecções do Nexus muito antes do anúncio público em junho de 2022.”
Analisando amostras do Nexus no ano passado, a Cleafy notou semelhanças de código entre o malware e o Sova, um trojan bancário para Android descoberto em meados de 2021. Na época, a equipe acreditava que o Nexus era uma versão atualizada do Sova.
“Apesar de o novo programa MaaS ter sido lançado com o nome Nexus, os operadores da ameaça podem ter reutilizado algumas partes internas do Sova para escrever novos recursos, e reescrever alguns dos existentes”, explica a Cleafy.
“Recentemente, o hacker do Sova, que opera sob o pseudônimo de ‘sovenok’, começou a compartilhar algumas ideias sobre o Nexus e seu relacionamento com o Sova, denunciando um afiliado que anteriormente alugava o malware por roubar todo o código-fonte do projeto.”
Com relação aos recursos que facilitam as operações ATO, o Nexus possibilita ataques de sobreposição e atividades de keylogging projetadas para roubar as credenciais das vítimas. Ele também pode roubar mensagens SMS (para obter códigos de autenticação de dois fatores) e informações de carteiras de criptomoedas.
Veja isso
Malware BatLoader usa anúncios do Google para instalar trojans
Descobertos 200 mil novos instaladores de trojans móveis
O Nexus também está equipado com um mecanismo de atualização autônoma, escreveu a Cleafy. “Uma função dedicada verifica de forma assíncrona seu servidor de comando e controle (C&C) em busca de atualizações quando o malware está em execução.”
O malware também inclui um módulo capaz de criptografar, possivelmente ransomware. “Este módulo parece estar em desenvolvimento devido à presença de strings de depuração e à falta de referências de uso”, esclarece a empresa.
De forma mais geral, a Cleafy diz que a ausência de um módulo de computação de rede virtual (VNC), que permitiria o acesso remoto, atualmente limita o alcance da ação e os recursos do Nexus. “Mas não podemos excluir que esteja pronto para subir ao palco nos próximos meses”, finaliza a empresa.