Se está comenzando a extender el uso de un troyano bancario conocido como Nexus. Aunque está todavía en unas fases iniciales de su desarrollo, su peligrosidad y posible alcance, con más de 450 aplicaciones financieras vulnerables, hacen de él un peligroso enemigo.
El potencial de Nexus es tal, que la suscripción a sus servicios puede ser de unos 3.000 dólares mensuales, lo que da una idea del potencial de dinero y criptomonedas que puede llegar a robar.
Así funciona e infecta Nexus
En enero de 2023, apareció un nuevo troyano bancario para Android en varios foros de piratería con el nombre de Nexus. Sin embargo, las primeras infecciones de Nexus se produjeron mucho antes del anuncio público, a partir de junio de 2022.
Nexus se promociona a través de una suscripción de Malware-as-a-Service (MaaS), un tipo particular de delito cibernético en el que los creadores o distribuidores de malware brindan sus servicios a otros delincuentes o individuos mediante alquiler o suscripción por una tarifa mensual de 3.000 dólares. Los desarrolladores ofrecen sus servicios en foros clandestinos o a través de canales privados (por ejemplo en Telegram), y sus clientes pagan una tarifa por usar el malware. Este es un modelo utilizado en el mundo del cibercrimen para ofrecer su malware en alquiler o venta a otros delincuentes que carecen de la experiencia técnica para desarrollar su malware.
A pesar de su peligrosidad, Nexus parece estar en sus primeras etapas de desarrollo (incluso en fase beta). Múltiples campañas activas en todo el mundo confirman que múltiples actores de amenazas ya están utilizando este troyano bancario para realizar campañas fraudulentas.
Nexus proporciona todas las funciones principales para realizar ataques ATO (Adquisición de cuenta) contra portales bancarios y servicios de criptomonedas, como el robo de credenciales y la interceptación de SMS. También proporciona una lista integrada de inyecciones contra 450 aplicaciones financieras.
Curiosamente, los autores de Nexus han establecido reglas explícitas que prohíben el uso de su malware en Azerbaiyán, Armenia, Bielorrusia, Kazajstán, Kirguistán, Moldavia, Rusia, Tayikistán, Uzbekistán, Ucrania e Indonesia. Es común que los proveedores de MaaS impongan restricciones en las geografías donde sus clientes pueden realizar ataques utilizando malware alquilado o comprado. Los autores de Nexus, por ejemplo, tienen también una regla de «código de conducta» que prohíbe el uso de su malware en Rusia y los países de la Comunidad de Estados Independientes.
Un peligro para tus cuentas y tu dispositivo Android
El malware, al igual que otros troyanos bancarios, contiene funciones para apoderarse de cuentas relacionadas con servicios bancarios y de criptomonedas realizando ataques de superposición y registro de teclas para robar las credenciales de los usuarios.
Este modelo prevalece en los troyanos bancarios de Android, donde los autores de malware utilizan plataformas MaaS para distribuir su malware a un público más amplio. El modelo MaaS permite a los delincuentes monetizar su malware de manera más eficiente al proporcionar una infraestructura lista para usar a sus clientes, quienes luego pueden usar el malware para atacar a sus objetivos.
De esta forma, en los equipos infectados consiguen robar las credenciales que el usuario introduce legítimamente y así más tarde poder usarlas a su favor para vaciar cuentas y monederos de criptomonedas.