Un nuovo trojan bancario Android è stato scoperto in diverse campagne dannose in tutto il mondo.
Soprannominato “Nexus” dai ricercatori di sicurezza di Cleafy, lo strumento è promosso come parte di un servizio in abbonamento per usufruire del virus (Malware-as-a-Service o MaaS) e fornisce funzionalità per eseguire attacchi di acquisizione di account (ATO).
“Nel gennaio 2023, un nuovo trojan bancario Android è apparso su più forum di hacking con il nome di Nexus“, ha scritto la società in un avviso pubblicato martedì. “Tuttavia, abbiamo rintracciato le prime infezioni molto prima dell’annuncio pubblico nel giugno 2022“.
Analizzando i campioni di Nexus lo scorso anno, Cleafy ha notato somiglianze di codice tra il malware e SOVA, un trojan bancario scoperto a metà del 2021. A quel tempo, il team credeva che Nexus fosse una versione aggiornata di SOVA.
“Nonostante il nuovo programma MaaS lanciato con il nome Nexus, gli autori potrebbero aver riutilizzato alcune parti degli interni di SOVA per scrivere nuove funzionalità (e riscrivere alcune di quelle esistenti)“, ha spiegato Cleafy.
Un vero e proprio assedio di virus
“Recentemente, l’autore di SOVA, che opera sotto lo pseudonimo di sovenok, ha iniziato a condividere alcune intuizioni su Nexus e il suo rapporto con SOVA, chiamando un affiliato che in precedenza aveva noleggiato la soluzione per aver rubato l’intero codice sorgente del progetto.”
Per quanto riguarda le funzionalità che facilitano le operazioni ATO, Nexus offre attacchi overlay e attività di keylogging progettate per rubare le credenziali delle vittime. Può anche rubare messaggi SMS (per ottenere codici di autenticazione a due fattori) e informazioni dai portafogli di criptovalute.
“Nexus è inoltre dotato di un meccanismo di aggiornamento autonomo“, ha scritto Cleafy. “Una funzione dedicata controlla in modo asincrono la presenza di aggiornamenti sul suo server C2 quando il malware è in esecuzione.”
Il malware include anche un modulo in grado di crittografare, possibilmente ransomware.