Sono state recentemente individuate numerose campagne di attacco aventi l’obiettivo di distribuire un nuovo trojan progettato contro i sistemi operativi Android: il malware, denominato Nexus, prende di mira 450 applicazioni bancarie per portare a compimento frodi in ambienti finanziari.

Nexus (probabilmente versione aggiornata del malware BlackGuard) fornisce tutte le funzionalità principali per eseguire attacchi contro portali bancari e servizi di criptovaluta: è in grado leggere i codici di autenticazione a due fattori (2FA) dai messaggi SMS e dall’app Google Authenticator, con l’obiettivo di rubare credenziali di accesso alle applicazioni di servizi bancari. Pur essendo stato annunciato ufficialmente nei portali dell’underground della rete solo da poco, ci sono indicazioni che il malware potrebbe essere stato utilizzato in attacchi nel mondo reale già nel giugno 2022.

È interessante sottolineare che gli autori di Nexus hanno stabilito regole esplicite che vietano l’uso del suo malware in Azerbaigian, Armenia, Bielorussia, Kazakistan, Kirghizistan, Moldavia, Russia, Tagikistan, Uzbekistan, Ucraina e Indonesia: probabilmente la matrice criminale è originaria di paesi che gravitano attorno alla Russia.

Nexus è distribuito secondo un modello “Malware-as-a-Service”, che consente ai criminali di monetizzare il proprio malware in modo più efficiente fornendo un’infrastruttura già pronta ai propri clienti, che possono quindi utilizzare il malware per attaccare obiettivi specifici di loro interesse, commissionando l’attacco e senza avere nessuna competenza tecnica.

Fonte: https://thehackernews.com/2023/03/nexus-new-rising-android-banking-trojan.html