La questione della sicurezza è diventata recentemente sempre più rilevante nell’ambiente online. Questo perché anche gli strumenti relativamente affidabili che forniscono la gestione delle password spesso cadono vittima degli attacchi degli hacker. In molti casi gli aggressori non si preoccupano nemmeno di sviluppare da zero i propri strumenti, ma utilizzano soluzioni già pronte basate, ad esempio, sul modello MaaS, che può essere utilizzato in diverse forme e il cui scopo è il monitoraggio online e la valutazione dei dati. Tuttavia, nelle mani di un aggressore, serve a infettare i dispositivi e a distribuire i propri contenuti dannosi. Gli esperti di sicurezza sono riusciti a scoprire l'uso di un MaaS chiamato Nexus, che mira a ottenere informazioni bancarie dai dispositivi dotati Android utilizzando un cavallo di Troia.
Azienda Cleary occupandosi di sicurezza informatica ha analizzato il modus operandi del sistema Nexus utilizzando dati campione provenienti da forum sotterranei in collaborazione con il server TechRadar. Questa botnet, ovvero una rete di dispositivi compromessi che vengono poi controllati da un utente malintenzionato, è stata identificata per la prima volta nel giugno dello scorso anno e consente ai suoi clienti di effettuare attacchi ATO, abbreviazione di Account Takeover, per una tariffa mensile di 3 dollari. Nexus si infiltra nel tuo dispositivo di sistema Android mascherandosi da app legittima che potrebbe essere disponibile in app store di terze parti, spesso dubbi, e racchiudendo un bonus non proprio amichevole sotto forma di cavallo di Troia. Una volta infettato, il dispositivo della vittima diventa parte della botnet.
Galleria di Foto
Nexus è un potente malware in grado di registrare le credenziali di accesso a varie applicazioni utilizzando il keylogging, sostanzialmente spiando la tastiera. Tuttavia, è anche in grado di rubare codici di autenticazione a due fattori inviati tramite SMS e informace dall'applicazione Google Authenticator, altrimenti relativamente sicura. Tutto questo a tua insaputa. Il malware può eliminare i messaggi SMS dopo aver rubato i codici, aggiornarli automaticamente in background o persino distribuire altro malware. Un vero incubo per la sicurezza.
Poiché i dispositivi della vittima fanno parte della botnet, gli autori delle minacce che utilizzano il sistema Nexus possono monitorare da remoto tutti i bot, i dispositivi infetti e i dati da essi ottenuti, utilizzando un semplice pannello web. Secondo quanto riferito, l'interfaccia consente la personalizzazione del sistema e supporta l'iniezione remota di circa 450 pagine di accesso di applicazioni bancarie dall'aspetto legittimo per rubare dati.
Potrebbe interessarti
Tecnicamente Nexus è un'evoluzione del trojan bancario SOVA della metà del 2021. Secondo Cleafy sembra che il codice sorgente di SOVA sia stato rubato da un operatore botnet Android, che ha affittato il MaaS legacy. L'entità che gestisce Nexus ha utilizzato parti di questo codice sorgente rubato e poi ha aggiunto altri elementi pericolosi, come un modulo ransomware in grado di bloccare il dispositivo utilizzando la crittografia AES, anche se questo non sembra essere attualmente attivo.
Nexus condivide quindi comandi e protocolli di controllo con il suo famigerato predecessore, incluso l'ignoramento dei dispositivi negli stessi paesi che erano nella whitelist SOVA. Pertanto, l'hardware utilizzato in Azerbaigian, Armenia, Bielorussia, Kazakistan, Kirghizistan, Moldavia, Russia, Tagikistan, Uzbekistan, Ucraina e Indonesia viene ignorato anche se lo strumento è installato. La maggior parte di questi paesi sono membri della Comunità di Stati Indipendenti istituita dopo il crollo dell’Unione Sovietica.
Galleria di Foto
Poiché il malware ha la natura di un cavallo di Troia, il suo rilevamento potrebbe avvenire sul dispositivo di sistema Android piuttosto impegnativo. Un possibile avviso potrebbe riguardare picchi insoliti nell'utilizzo dei dati mobili e del Wi-Fi, che di solito indicano che il malware sta comunicando con il dispositivo dell'hacker o si sta aggiornando in background. Un altro indizio è un consumo anomalo della batteria quando il dispositivo non viene utilizzato attivamente. Se riscontri uno di questi problemi, è una buona idea iniziare a pensare a eseguire il backup dei dati importanti e ripristinare il dispositivo alle impostazioni di fabbrica o contattare un professionista della sicurezza qualificato.
Per proteggerti da malware pericolosi come Nexus, scarica sempre le app solo da fonti attendibili come Google Play Store, assicurati di avere installati gli aggiornamenti più recenti e concedi alle app solo le autorizzazioni necessarie per eseguirle. Cleafy deve ancora rivelare l'entità della botnet Nexus, ma di questi tempi è sempre meglio peccare per eccesso di cautela piuttosto che avere una brutta sorpresa.
