Cheval de Troie Android Nexus

Un cheval de Troie bancaire Android émergent connu sous le nom de « Nexus » a déjà été ajouté aux outils malveillants de plusieurs acteurs de la menace. Les cybercriminels ont utilisé la menace pour cibler environ 450 applications financières et mener des activités frauduleuses.

Selon la cybersécurité italienne qui a publié un rapport sur la menace, Nexus semble en être à ses premiers stades de développement. Cependant, le cheval de Troie fournit toutes les fonctionnalités nécessaires pour mener des attaques de prise de contrôle de compte (ATO) contre les portails bancaires et les services de crypto-monnaie, comme le vol des identifiants de connexion et l'interception des messages SMS. Les capacités malveillantes de Nexus en font un cheval de Troie bancaire sophistiqué et dangereux qui peut causer des dommages financiers importants à ses victimes. Nexus est conçu spécifiquement pour compromettre les appareils Android.

Le cheval de Troie bancaire Nexus est proposé sous forme de services d'abonnement

Il a été découvert que le cheval de Troie Nexus Banking était proposé à la vente sur divers forums de piratage pour 3 000 $ par mois en tant que programme MaaS (Malware-as-a-Service). Cependant, il existe des preuves suggérant que le cheval de Troie a peut-être déjà été déployé dans des attaques réelles dès juin 2022, au moins six mois avant son annonce officielle sur les portails darknet.

Les auteurs de logiciels malveillants ont confirmé que la majorité des infections Nexus ont été signalées en Turquie, selon leur propre chaîne Telegram. En outre, il a été constaté que la menace du logiciel malveillant chevauche un autre cheval de Troie bancaire appelé SOVA, réutilisant en fait des parties de son code source. Le cheval de Troie Nexus contient également un module ransomware qui semble être activement développé.

Fait intéressant, les auteurs de Nexus ont établi des règles explicites interdisant l'utilisation de leurs logiciels malveillants dans plusieurs pays, dont l'Azerbaïdjan, l'Arménie, la Biélorussie, le Kazakhstan, le Kirghizistan, la Moldavie, la Russie, le Tadjikistan, l'Ouzbékistan, l'Ukraine et l'Indonésie.

Liste exhaustive des capacités menaçantes trouvées dans le cheval de Troie bancaire Nexus

Nexus est spécialement conçu pour obtenir un accès non autorisé aux comptes bancaires et de crypto-monnaie des utilisateurs en utilisant diverses techniques telles que les attaques par superposition et l'enregistrement de frappe. Grâce à ces méthodes, le logiciel malveillant vole les identifiants de connexion des utilisateurs et d'autres informations sensibles.

En plus de ces tactiques, le logiciel malveillant a la capacité de lire les codes d'authentification à deux facteurs (2FA), à la fois des messages SMS et de l'application Google Authenticator. Ceci est rendu possible grâce à l'exploitation des services d'accessibilité dans Android.

De plus, le malware a été amélioré avec de nouvelles fonctionnalités, telles que la possibilité de supprimer les messages SMS reçus, d'activer ou de désactiver le module de vol 2FA et de se mettre à jour en communiquant périodiquement avec un serveur de commande et de contrôle (C2). Ces nouvelles fonctionnalités rendent le malware encore plus dangereux et difficile à détecter.