La cuestión de la seguridad ha cobrado cada vez más relevancia en el entorno online. Esto se debe a que incluso las herramientas relativamente confiables que brindan administración de contraseñas a menudo son víctimas de ataques de piratas informáticos. En muchos casos, los atacantes ni siquiera se molestan en desarrollar sus propios instrumentos desde cero, sino que utilizan soluciones listas para usar basadas, por ejemplo, en el modelo MaaS, que se puede implementar de diversas formas y cuyo objetivo es el seguimiento en línea y la evaluación de datos. Sin embargo, en manos de un agresor, sirve para infectar dispositivos y distribuir su propio contenido malicioso. Los expertos en seguridad lograron descubrir el uso de un MaaS llamado Nexus, cuyo objetivo es obtener información bancaria de dispositivos con Android utilizando un caballo de Troya.
Empresa limpio encargados de la seguridad cibernética analizaron el modus operandi del sistema Nexus utilizando datos de muestra de foros clandestinos en cooperación con el servidor TechRadar. Esta botnet, es decir, una red de dispositivos comprometidos que luego son controlados por un atacante, fue identificada por primera vez en junio del año pasado y permite a sus clientes llevar a cabo ataques ATO, abreviatura de Account Takeover, por una tarifa mensual de 3 dólares. Nexus se infiltra en el dispositivo de su sistema Android haciéndose pasar por una aplicación legítima que puede estar disponible en tiendas de aplicaciones de terceros, a menudo dudosas, y con un bono no tan amigable en forma de caballo de Troya. Una vez infectado, el dispositivo de la víctima pasa a formar parte de la botnet.
Galería de fotos
Nexus es un poderoso malware que puede registrar credenciales de inicio de sesión en varias aplicaciones mediante el registro de teclas, básicamente espiando su teclado. Sin embargo, también es capaz de robar códigos de autenticación de dos factores enviados por SMS y informace desde la aplicación Google Authenticator, que de otro modo sería relativamente segura. Todo esto sin tu conocimiento. El malware puede eliminar mensajes SMS después de robar códigos, actualizarlos automáticamente en segundo plano o incluso distribuir otro malware. Una auténtica pesadilla de seguridad.
Dado que los dispositivos de la víctima son parte de la botnet, los actores de amenazas que utilizan el sistema Nexus pueden monitorear de forma remota todos los bots, los dispositivos infectados y los datos obtenidos de ellos, utilizando un simple panel web. Según se informa, la interfaz permite la personalización del sistema y admite la inyección remota de aproximadamente 450 páginas de inicio de sesión de aplicaciones bancarias de apariencia legítima para robar datos.
Te podría interesar
Técnicamente, Nexus es una evolución del troyano bancario SOVA de mediados de 2021. Según Cleafy, parece que el código fuente de SOVA fue robado por un operador de botnet. Android, que alquiló MaaS heredado. La entidad que ejecuta Nexus utilizó partes de este código fuente robado y luego añadió otros elementos peligrosos, como un módulo de ransomware capaz de bloquear su dispositivo mediante cifrado AES, aunque no parece estar activo actualmente.
Por lo tanto, Nexus comparte comandos y protocolos de control con su infame predecesor, incluido el de ignorar dispositivos en los mismos países que estaban en la lista blanca de SOVA. Por lo tanto, el hardware que funciona en Azerbaiyán, Armenia, Bielorrusia, Kazajstán, Kirguistán, Moldavia, Rusia, Tayikistán, Uzbekistán, Ucrania e Indonesia se ignora incluso si la herramienta está instalada. La mayoría de estos países son miembros de la Comunidad de Estados Independientes establecida después del colapso de la Unión Soviética.
Galería de fotos
Dado que el malware tiene la naturaleza de un caballo de Troya, su detección puede realizarse en el dispositivo del sistema. Android bastante exigente. Una posible advertencia podría ser ver picos inusuales en el uso de datos móviles y Wi-Fi, que generalmente indican que el malware se está comunicando con el dispositivo del pirata informático o se está actualizando en segundo plano. Otra pista es el consumo anormal de la batería cuando el dispositivo no se utiliza activamente. Si encuentra alguno de estos problemas, es una buena idea comenzar a pensar en hacer una copia de seguridad de sus datos importantes y restablecer su dispositivo a la configuración de fábrica o comunicarse con un profesional de seguridad calificado.
Para protegerse de malware peligroso como Nexus, descargue siempre aplicaciones solo de fuentes confiables como Google Play Store, asegúrese de tener instaladas las últimas actualizaciones y otorgue a las aplicaciones solo los permisos necesarios para ejecutarlas. Cleafy aún no ha revelado el alcance de la botnet Nexus, pero hoy en día siempre es mejor pecar de cauteloso que llevarse una sorpresa desagradable.
