Un attore malevolo sta prendendo di mira i clienti di 450 banche e servizi di criptovalute in tutto il mondo con un pericoloso trojan Android dotato di numerose funzionalità per dirottare account online e potenzialmente sottrarre fondi. I creatori del cosiddetto trojan Android “Nexus” hanno reso il malware disponibile ad altri attori malevoli attraverso un programma di malware-as-a-service (MaaS), dove individui e gruppi possono noleggiare o abbonarsi al malware e utilizzarlo nei propri attacchi.
Attacco ai clienti di banche e servizi di criptovalute
Il malware Nexus è stato scoperto per la prima volta dai ricercatori della società di cybersecurity italiana Cleafy nel giugno dello scorso anno, ma inizialmente lo ritenevano una variante in rapida evoluzione di un altro trojan bancario Android chiamato “Sova”. Tuttavia, a gennaio, i ricercatori di Cleafy hanno individuato il malware, ora più evoluto, sotto il nome Nexus su diversi forum di hacking. Poco dopo, gli autori del malware hanno iniziato a offrirlo ad altri attori malevoli tramite il nuovo programma MaaS al prezzo relativamente basso di $3.000 al mese.
Funzionalità di Nexus per il dirottamento degli account
L’analisi di Cleafy su Nexus ha rivelato diverse funzionalità che consentono il dirottamento degli account. Tra queste, vi è una funzione per eseguire attacchi di tipo overlay e registrare i tasti premuti per rubare le credenziali degli utenti. Nexus può intercettare messaggi SMS per ottenere i codici di autenticazione a due fattori per accedere agli account online. Inoltre, è in grado di abusare delle funzionalità di Accessibilità di Android per rubare informazioni di accesso e saldo dai portafogli di criptovalute, cookie dai siti web di interesse e codici a due fattori dall’app Google Authenticator.
Nexus è ancora in fase di sviluppo?
La ricerca di Cleafy suggerisce che Nexus potrebbe aver compromesso potenzialmente centinaia di sistemi. Nonostante le numerose funzionalità del malware per il dirottamento degli account finanziari online, i ricercatori di Cleafy ritengono che Nexus sia ancora un lavoro in corso. Un indizio è la presenza di stringhe di debug e la mancanza di riferimenti all’uso in alcuni moduli del malware.
Un trojan tra i tanti
Nexus è uno dei numerosi trojan bancari Android emersi negli ultimi mesi, che si aggiungono all’ampio numero di strumenti simili attualmente attivi. Ad esempio, all’inizio di questo mese, i ricercatori di Cyble hanno osservato un nuovo malware Android chiamato GoatRAT che prende di mira un sistema di pagamento automatico mobile recentemente introdotto in Brasile. Nel dicembre 2022, Cyble ha individuato un altro trojan bancario Android chiamato “Godfather” che è riemerso dopo un periodo di assenza, con nuove funzionalità avanzate di offuscamento e anti-rilevamento. I ricercatori di Cyble hanno scoperto il malware sotto le mentite spoglie di software legittimo sul Google Play Store.
Queste due varianti di malware sono solo la punta dell’iceberg. Un’analisi di Kaspersky ha mostrato che circa 200.000 nuovi trojan bancari sono emersi nel 2022, registrando un aumento del 100% rispetto al 2021. Questo fenomeno evidenzia l’importanza per gli utenti di prestare particolare attenzione alla sicurezza dei propri dispositivi e delle proprie informazioni finanziarie, utilizzando solo applicazioni ufficiali e autenticate e prestando attenzione ai tentativi di phishing e alle campagne di ingegneria sociale.
Per proteggersi da tali minacce, gli utenti dovrebbero seguire alcune raccomandazioni, come l’installazione di un software antivirus affidabile, l’aggiornamento regolare del sistema operativo e delle applicazioni, l’utilizzo di connessioni Internet sicure e l’evitare di scaricare app da fonti non ufficiali. Inoltre, è fondamentale prestare attenzione ai messaggi sospetti e non condividere mai le proprie credenziali o informazioni personali attraverso messaggi di testo, e-mail o app di messaggistica non sicure.