Nexus: El troyano bancario de Android
En un primero momento, se creyó que el troyano Nexus apareció por primera vez en enero de 2023 en los fotos de piratería. Sin embargo, el equipo de Clearfy estuvo rastreando las primeras infecciones por el troyano Nexus desde junio de 2022.
Nexus es el nombre que se le ha dado a un troyano en fase ‘beta’ tipo ‘MaaS’ (Malware-as-a-Service), un tipo de producto cibernético (ilegal) que se alquila a delincuentes para que hagan uso de su infraestructura. El troyano Nexus es capaz de apropiarse de las cuentas bancarias de la gran mayoría de bancos, de carteras de criptomonedas, incluso de cuentas y credenciales de Google y otros servicios digitales.
Contenido:
El principio de Nexus
Nexus aparece por primera vez en un foro de piratería en enero de 2023. Se promociona como un software escrito desde cero y anuncian su cuota de alquiler de 3000$ por mes. Esto es algo normal en ‘estos lugares’. El software totalmente creado y montado se alquila para que otros delincuentes puedan hacer uso de él desde el minuto 1 sin complicaciones.
Actividad previa de Nexus
A pesar de su aparición en público en enero de 2023, las telemetrías realizadas por Cleafy demuestran que estuvo activo en internet desde agosto de 2022. Las indicaciones obtenidas sugerían que en el código de Nexus se encontraban ciertas similitudes con SOVA, otro antiguo troyano bancario que apareció a mediados de 2021. De modo que Nexus es una variante de SOVA con funciones añadidas.
Nexus es selectivo con las víctimas
Al igual que lo hacía el anterior troyano SOVA, Nexus está programado para actuar solo en ciertos países. Antes de realizar la infección, el troyano comprueba en qué ubicación geográfica se encuentra, y se bloquea si está en uno de estos países:
- Azerbaiyán
- Armenia
- Bielorrusia
- Kazajstán
- Kirguistán
- Moldavia
- Federación de Rusia
- Tayikistán
- Uzbekistán
- Ucrania
- Indonesia
Comportamiento de Nexus
Nexus es capaz de realizar ataques de superposición de pantalla, mostrando pantallas ‘falsas’ haciéndose pasar por la app original del banco. Además tiene la capacidad para registrar las teclas pulsadas, intervenir SMS recibidos, e incluso puede obtener los códigos de Google Authenticator mediante los servicios de accesibilidad del dispositivo. Las billeteras (wallets) de criptomonedas tampoco están a salvo.
Un cóctel molotov para cualquier dispositivo y persona, que sin duda verá su cuenta bancaria afectada.
Por último y para acabar de rematar la jugada, el troyano Nexus es capaz de actualizarse automáticamente desde el panel de comando. De modo que sus capacidades pueden ser, y serán ampliadas conforme pase el tiempo, haciendo de Nexus uno de los troyanos mejor preparados para acometer su fin.