Nexus: El troyano bancario de Android

En un primero momento, se creyó que el troyano Nexus apareció por primera vez en enero de 2023 en los fotos de piratería. Sin embargo, el equipo de Clearfy estuvo rastreando las primeras infecciones por el troyano Nexus desde junio de 2022.

Nexus es el nombre que se le ha dado a un troyano en fase ‘beta’ tipo ‘MaaS’ (Malware-as-a-Service), un tipo de producto cibernético (ilegal) que se alquila a delincuentes para que hagan uso de su infraestructura. El troyano Nexus es capaz de apropiarse de las cuentas bancarias de la gran mayoría de bancos, de carteras de criptomonedas, incluso de cuentas y credenciales de Google y otros servicios digitales.

El principio de Nexus

Nexus aparece por primera vez en un foro de piratería en enero de 2023. Se promociona como un software escrito desde cero y anuncian su cuota de alquiler de 3000$ por mes. Esto es algo normal en ‘estos lugares’. El software totalmente creado y montado se alquila para que otros delincuentes puedan hacer uso de él desde el minuto 1 sin complicaciones.

Anuncio del troyano Nexus
El hilo en el que apareció el troyano Nexus en un foro de piratería

Actividad previa de Nexus

A pesar de su aparición en público en enero de 2023, las telemetrías realizadas por Cleafy demuestran que estuvo activo en internet desde agosto de 2022. Las indicaciones obtenidas sugerían que en el código de Nexus se encontraban ciertas similitudes con SOVA, otro antiguo troyano bancario que apareció a mediados de 2021. De modo que Nexus es una variante de SOVA con funciones añadidas.

Actividad de Nexus previa a su presentación
Actividad de Nexus previa a su anuncio

Nexus es selectivo con las víctimas

Al igual que lo hacía el anterior troyano SOVA, Nexus está programado para actuar solo en ciertos países. Antes de realizar la infección, el troyano comprueba en qué ubicación geográfica se encuentra, y se bloquea si está en uno de estos países:

  • Azerbaiyán
  • Armenia
  • Bielorrusia
  • Kazajstán
  • Kirguistán
  • Moldavia
  • Federación de Rusia
  • Tayikistán
  • Uzbekistán
  • Ucrania
  • Indonesia

Comportamiento de Nexus

Nexus es capaz de realizar ataques de superposición de pantalla, mostrando pantallas ‘falsas’ haciéndose pasar por la app original del banco. Además tiene la capacidad para registrar las teclas pulsadas, intervenir SMS recibidos, e incluso puede obtener los códigos de Google Authenticator mediante los servicios de accesibilidad del dispositivo. Las billeteras (wallets) de criptomonedas tampoco están a salvo.

Un cóctel molotov para cualquier dispositivo y persona, que sin duda verá su cuenta bancaria afectada.

Por último y para acabar de rematar la jugada, el troyano Nexus es capaz de actualizarse automáticamente desde el panel de comando. De modo que sus capacidades pueden ser, y serán ampliadas conforme pase el tiempo, haciendo de Nexus uno de los troyanos mejor preparados para acometer su fin.

También te podría gustar...

Ads Blocker Image Powered by Code Help Pro

Bloqueador de anuncios detectado

Por favor, desactiva tu bloqueador de anuncios para este sitio web. Sabemos que la publicidad puede resultarte molesta, pero esta es la única manera de mantener la web de forma gratuita y accesible para todo el mundo.