0
0
Um agente de ameaças tem como alvo clientes de 450 bancos e serviços de criptomoeda em todo o mundo com um perigoso Trojan Android que possui vários recursos para seqüestrar contas online e potencialmente desviar fundos delas.
Os autores do chamado Trojan Android “Nexus” disponibilizaram o malware para outros agentes de ameaças por meio de um programa de malware como serviço (MaaS) recém-anunciado, no qual indivíduos e grupos podem alugar ou assinar o malware e usá-lo em seus próprios ataques.
Pesquisadores da empresa italiana de segurança cibernética Cleafy detectaram o Nexus pela primeira vez em junho de 2022, mas na época avaliaram que era uma variante em rápida evolução de outro Trojan bancário Android que eles estavam rastreando como “Sova”. O malware continha vários pedaços de código Sova e tinha recursos na época para atingir mais de 200 bancos móveis, criptomoedas e outros aplicativos financeiros. Os pesquisadores da Cleafy observaram o que presumiram ser a variante Sova escondida em aplicativos falsos com logotipos que sugeriam que eram Amazon, Chrome, NFT e outros aplicativos confiáveis.
Um de muitos
O Nexus é um dos vários trojans bancários para Android que surgiram nos últimos meses e foram adicionados ao já grande número de ferramentas semelhantes atualmente disponíveis. No início deste mês, por exemplo, pesquisadores da Cyble relataram ter observado um novo malware para Android chamado GoatRAT visando um sistema de pagamento móvel automatizado recentemente introduzido no Brasil. Em dezembro de 2022, Cyble detectou outro Trojan bancário do Android, rastreado como “Godfather”, ressurgindo após um hiato com novos recursos avançados de ofuscação e antidetecção.. Os pesquisadores cibernéticos descobriram o malware disfarçado de malware legítimo na Google Play Store. As duas variantes de malware são apenas a ponta do iceberg. Uma análise da Kaspersky mostrou que cerca de 200.000 novos Trojans bancários surgiram em 2022, representando um aumento de 100% em relação a 2021 .
Federico Valentini, chefe da equipe de inteligência de ameaças da Cleafy, diz que não está claro como os agentes de ameaças estão entregando o Nexus em dispositivos Android. “Não tivemos acesso a detalhes específicos sobre o vetor de infecção inicial do Nexus, pois nossa pesquisa se concentrou principalmente na análise de seu comportamento e capacidades”, diz Valentini. “No entanto, com base em nossa experiência e conhecimento de malware semelhante, é comum que os cavalos de Tróia bancários sejam entregues por meio de esquemas de engenharia social, como smishing”, diz ele, referindo-se ao phishing por meio de mensagens de texto SMS.
Em janeiro de 2023, os pesquisadores da Cleafy detectaram o malware – agora mais evoluído – surgindo em vários fóruns de hackers sob o nome de Nexus. Pouco tempo depois, os autores do malware começaram a disponibilizá-lo para outros agentes de ameaças por meio de seu novo programa MaaS por aproximadamente US$ 3.000 por mês.
Vários recursos para aquisição de conta
A análise de Cleafy do Nexus mostrou que o malware contém vários recursos para permitir o controle de contas. Entre eles está uma função para executar ataques de sobreposição e registrar pressionamentos de tecla para roubar credenciais do usuário. Quando um cliente de um aplicativo bancário ou de criptomoeda alvo, por exemplo, tenta acessar sua conta usando um dispositivo Android comprometido, o Nexus exibe uma página que se parece e funciona exatamente como a página de login do aplicativo real. O malware então usa seu recurso de keylogging para obter as credenciais da vítima conforme inseridas na página de login.
Como muitos Trojans bancários, o Nexus pode interceptar mensagens SMS para obter códigos de autenticação de dois fatores para acessar contas online. Cleafy descobriu que o Nexus é capaz de abusar do recurso de serviços de acessibilidade do Android para roubar sementes e equilibrar informações de carteiras de criptomoedas, cookies de sites de interesse e códigos de dois fatores do aplicativo Google Authenticator.
Os autores do malware também parecem ter adicionado novas funcionalidades ao Nexus que não estavam presentes na versão que Cleafy observou no ano passado e inicialmente assumiu ser uma variante do Sova. Um deles é um recurso que exclui silenciosamente as mensagens SMS de autenticação de dois fatores recebidas e outro é uma função para parar ou ativar o módulo para roubar códigos 2FA do Google Authenticator. A variante mais recente do Nexus também possui uma função para verificar periodicamente seu servidor de comando e controle (C2) em busca de atualizações e para instalar automaticamente qualquer uma que esteja disponível. Um módulo que parece ainda estar em desenvolvimento sugere que os autores podem implementar um recurso de criptografia no malware com maior probabilidade de ofuscar seus rastros após concluir o controle de uma conta.
Um trabalho em andamento?
Valentini diz que a pesquisa de Cleafy sugere que o Nexus comprometeu potencialmente centenas de sistemas. “O que é particularmente digno de nota é que as vítimas não parecem estar concentradas em uma região geográfica específica, mas estão bem distribuídas globalmente”.
Apesar das muitas funções do malware para assumir contas financeiras online, os pesquisadores de Cleafy avaliaram que o Nexus ainda é um trabalho em andamento. Uma indicação, segundo o fornecedor de segurança, é a presença de strings de depuração e a falta de referências de uso em determinados módulos do malware. Outra revelação é o número relativamente alto de mensagens de registro no código, o que sugere que os autores ainda estão rastreando e relatando todas as ações executadas pelo malware, disse Cleafy.
Notavelmente, o malware em seu avatar atual não inclui um módulo Virtual Network Computing, ou VNC, que daria ao invasor uma maneira de obter o controle remoto completo de um dispositivo infectado pelo Nexus. “O módulo VNC permite que os agentes de ameaças executem fraudes no dispositivo, um dos tipos de fraude mais perigosos, pois as transferências de dinheiro são iniciadas a partir do mesmo dispositivo usado diariamente pelas vítimas”.
FONTE: DARK READING