Nexus è la nuova botnet Android da temere. Centinaia di app finanziarie sono già finite nel mirino del nuovo banking trojan.
“Nexus conferma la tendenza degli attaccanti ad allargare quanto più possibile le fonti di profitto”, conferma Paolo Passeri, Cyber Intelligence Principal di Netskope.
Ecco come proteggersi dal nuovo malware scoperto dall’italiana Cleafy.
Indice degli argomenti
Nexus, la botnet Android minaccia 450 app finanziarie
Diversi threat actor hanno adottato Nexus per attaccare 450 applicazioni finanziarie e perpetrare frodi.
“Nexus appare nelle fasi embrionali di sviluppo”, spiega l’azienda italiana di cyber security Cleafy in un report pubblicato questa settimana.
“La quantità di applicazioni e istituti bancari nel mirino dei malware di tipo finanziario si attesta oramai sull’ordine delle centinaia, e Nexus non fa eccezione”, continua Paolo Passeri, aprendo una parentesi: “Il malware Xenomorph rappresenta un ulteriore esempio recente. Infatti, è in grado, ugualmente, di attaccare circa 400 istituzioni bancarie annoverando, curiosamente anche in questo caso, la Turchia tra le nazioni più colpite”.
I dettagli
Il trojan, che è apparso in vari forum di hacking all’inizio dell’anno, viene pubblicizzato come servizio di abbonamento a una tariffa mensile di 3.000 dollari. A inizio marzo, Cyble ha documentato i dettagli del malware. Secondo il ricercatore di sicurezza Rohit Bansal (@0xrb), e secondo quanto confermato dagli autori di malware sui loro canali Telegram, la maggioranza delle infezioni Nexus sono state riportate in Turchia.
Inoltre, “il furto di criptovalute rappresenta oramai una costante in ambito di malware finanziario”, sottolinea Passeri: “Difatti non vi è più soluzione di continuità tra il malware che prende di mira la finanza tradizionale ed il mondo fintech”.
“La tendenza di sottrarre cryptovalute”, mette in guardia Paolo Passeri, “si sta diffondendo anche tra il ransomware, rappresentando per gli attaccanti una contromisura alla crescente ritrosia delle vittime a pagare il riscatto. iIl malware BlackSnake rappresenta un interessante esempio in questo ambito. In grado non solo di cifrare i dati, è anche capace di effettuare clipboard hijacking per indirizzi Bitcoin. Ovvero è in grado di sostituire gli indirizzi dei wallet della vittima con quelli dei wallet che gli attaccanti controllano e dove inevitabilmente trasferiscono la criptovaluta che invece la vittima è convinta di mettere al sicuro”.
Infatti, “Nexus fornisce tutte le principali funzionalità per lanciare ATO attacks (Account Takeover) contro portali di banking e servizi di criptovalute, come le credenziali che rubano e intercettano SMS”, conferma Cleafy.
I rischi
Il malware è in grado di leggere i codici di autenticazione a due fattori (2FA) dai messaggi SMS e dall’app Google Authenticator attraverso l’abuso dei servizi di accessibilità di Android.
Inoltre, è capace di rimuovere messaggi SMS ricevuti, attivare o fermare i moduli 2FA stealer, e aggiornarsi periodicamente tramite ping su server command-and-control (C2).
Nota a parte: gli autori di Nexus hanno esplicitamente proibito l’uso del malware in Azerbaijan, Armenia, Belarus, Kazakhstan, Kyrgyzstan, Moldavia, Russia, Tajikistan, Uzbekistan, Ucraina e Indonesia.
Come proteggersi
Per difendersi dai modelli Malware-as-a-Service, bisogna aumentare il livello di consapevolezza, oltre a usare soluzioni anti-malware sui dispositivi mobili e installare app solo scaricate da app store ufficiali.
Bisogna sempre proteggersi contro gli schemi di attacco come phishing e social engineering.
