A empresa de segurança cibernética Cleafy analisou o modus operandi do Nexus usando dados de amostra de fóruns clandestinos (via TechRadar). Essa botnet foi identificada pela primeira vez em junho do ano passado e permite que seus clientes executem ataques de controle de conta (ATO) por uma taxa mensal de US$ 3.000. O Nexus faz incursões em seu dispositivo Android disfarçado como um aplicativo legítimo que contém um trojan malicioso em lojas obscuras de aplicativos Android de terceiros. Uma vez infectados, os dispositivos da vítima se tornam parte da botnet controlada pelo hacker.
Nexus Android botnet anunciado para aluguel em um fórum clandestino
O Nexus é um malware poderoso, capaz de fazer keylogging para registrar suas credenciais de login em vários aplicativos. Ele também pode roubar códigos de autenticação de dois fatores (2FA) enviados por SMS e informações do aplicativo Google Authenticator comparativamente seguro, tudo sem o seu conhecimento. O malware pode excluir SMS 2FA depois de roubar os códigos, atualizar automaticamente em segundo plano e distribuir malware adicional também – apenas um pesadelo, por toda parte.
Capturas de tela do painel da Web do Nexus
Como os dispositivos das vítimas fazem parte da botnet, os agentes de ameaças que empregam o Nexus podem usar um painel da Web simples para monitorar todos os bots (dispositivos infectados) remotamente e os dados coletados deles. A interface supostamente permite a personalização do Nexus e suporta a injeção remota de cerca de 450 páginas de login de aplicativos bancários de aparência legítima para roubar credenciais.
Tecnicamente, o Nexus é uma evolução do trojan bancário SOVA de meados de 2021. Embora Cleafy diga que o primeiro ainda parece estar em desenvolvimento beta, o código-fonte do SOVA foi roubado por um operador de botnet do Android (fale sobre ética entre ladrões) que alugou o popular e antigo MaaS. A entidade que opera o Nexus usou pedaços desse código-fonte roubado e, em seguida, adicionou elementos perigosos, como um módulo de ransomware capaz de bloquear seu dispositivo com criptografia AES – embora esse bit pareça estar inativo no momento.
Comandos compartilhados entre Nexus e SOVA
Como resultado, o Nexus compartilha comandos e protocolos de controle com seu infame predecessor, incluindo ignorar dispositivos nos mesmos países da lista de permissões que o SOVA faz – hardware operando no Azerbaijão, Armênia, Bielo-Rússia, Cazaquistão, Quirguistão, Moldávia, Rússia, Tadjiquistão, Uzbequistão, Ucrânia e A Indonésia é ignorada, mesmo que o trojan esteja instalado. Você pode notar que a maioria desses países são membros da Comunidade de Estados Independentes (CEI).
Devido à natureza semelhante a um trojan do malware, detectá-lo em um dispositivo Android pode ser um desafio. Possíveis bandeiras vermelhas podem ser picos anormais nos dados móveis e no uso de Wi-Fi, geralmente indicativos de malware se comunicando com o dispositivo do hacker ou atualizando em segundo plano. O consumo anormal de bateria quando o dispositivo não está em uso ativo também pode ser um sinal revelador de atividade em segundo plano decorrente de um malware. Se você descobrir algum desses problemas, sugerimos redefinir seu dispositivo de fábrica após fazer backup de arquivos importantes ou entrar em contato com um especialista qualificado em segurança cibernética.
Para manter seus dispositivos Android protegidos contra malwares perigosos como o Nexus, sempre baixe aplicativos de fontes confiáveis, como a Google Play Store. Além disso, verifique se você está executando o patch de segurança mais recente disponível e concedendo apenas permissões de aplicativos essenciais para sua operação – um aplicativo de galeria de imagens não precisa acessar seus registros de chamadas.
Cleafy não revelou o quão difundido é o botnet Nexus, mas hoje em dia, você nunca pode ser muito cauteloso.
[ad_2]
