A questão da segurança tornou-se recentemente cada vez mais relevante no ambiente online. Isso ocorre porque mesmo ferramentas relativamente confiáveis que fornecem gerenciamento de senhas costumam ser vítimas de ataques de hackers. Em muitos casos, os invasores nem se preocupam em desenvolver seus próprios instrumentos do zero, mas utilizam soluções prontas baseadas, por exemplo, no modelo MaaS, que pode ser implantado de diversas formas e cuja finalidade é o monitoramento online e a avaliação de dados. Porém, nas mãos de um agressor, serve para infectar dispositivos e distribuir seu próprio conteúdo malicioso. Especialistas em segurança conseguiram descobrir o uso de um tal MaaS chamado Nexus, que visa obter informações bancárias de dispositivos com Android usando um cavalo de Tróia.
Assinatura Cleafy lidando com segurança cibernética analisou o modus operandi do sistema Nexus usando dados de amostra de fóruns clandestinos em cooperação com o servidor TechRadar. Esta botnet, ou seja, uma rede de dispositivos comprometidos que são então controlados por um invasor, foi identificada pela primeira vez em junho do ano passado e permite que seus clientes realizem ataques ATO, abreviação de Account Takeover, por uma taxa mensal de US$ 3. Nexus se infiltra no dispositivo do seu sistema Android disfarçando-se de um aplicativo legítimo que pode estar disponível em lojas de aplicativos de terceiros, muitas vezes duvidosas, e trazendo um bônus não tão amigável na forma de um cavalo de Tróia. Uma vez infectado, o dispositivo da vítima passa a fazer parte da botnet.
Fotogalerie
Nexus é um malware poderoso que pode registrar credenciais de login para vários aplicativos usando keylogging, basicamente espionando seu teclado. No entanto, também é capaz de roubar códigos de autenticação de dois fatores entregues via SMS e informace do aplicativo Google Authenticator, relativamente seguro. Tudo isso sem o seu conhecimento. O malware pode excluir mensagens SMS após roubar códigos, atualizá-las automaticamente em segundo plano ou até mesmo distribuir outros malwares. Um verdadeiro pesadelo de segurança.
Como os dispositivos da vítima fazem parte da botnet, os agentes de ameaças que utilizam o sistema Nexus podem monitorar remotamente todos os bots, os dispositivos infectados e os dados obtidos deles, usando um simples painel web. A interface supostamente permite a personalização do sistema e suporta a injeção remota de aproximadamente 450 páginas de login de aplicativos bancários de aparência legítima para roubar dados.
Você pode estar interessado em
Tecnicamente, o Nexus é uma evolução do trojan bancário SOVA de meados de 2021. De acordo com Cleafy, parece que o código-fonte do SOVA foi roubado por um operador de botnet Android, que alugou MaaS legado. A entidade que executa o Nexus usou partes desse código-fonte roubado e depois adicionou outros elementos perigosos, como um módulo de ransomware capaz de bloquear seu dispositivo usando criptografia AES, embora não pareça estar ativo no momento.
O Nexus, portanto, compartilha comandos e protocolos de controle com seu infame antecessor, inclusive ignorando dispositivos nos mesmos países que estavam na lista de permissões SOVA. Assim, o hardware que funciona no Azerbaijão, Arménia, Bielorrússia, Cazaquistão, Quirguistão, Moldávia, Rússia, Tajiquistão, Uzbequistão, Ucrânia e Indonésia é ignorado mesmo que a ferramenta esteja instalada. A maioria destes países são membros da Comunidade de Estados Independentes, criada após o colapso da União Soviética.
Fotogalerie
Como o malware tem a natureza de um cavalo de Tróia, sua detecção pode estar no dispositivo do sistema Android bastante exigente. Um possível aviso pode ser a ocorrência de picos incomuns no uso de dados móveis e Wi-Fi, o que geralmente indica que o malware está se comunicando com o dispositivo do hacker ou atualizando em segundo plano. Outra pista é o consumo anormal da bateria quando o dispositivo não está sendo usado ativamente. Se você encontrar algum desses problemas, é uma boa ideia começar a pensar em fazer backup de seus dados importantes e redefinir seu dispositivo para as configurações de fábrica ou entrar em contato com um profissional de segurança qualificado.
Para se proteger de malware perigoso como o Nexus, sempre baixe aplicativos apenas de fontes confiáveis, como a Google Play Store, certifique-se de ter as atualizações mais recentes instaladas e conceda aos aplicativos apenas as permissões necessárias para executá-los. Cleafy ainda não revelou a extensão do botnet Nexus, mas hoje em dia é sempre melhor agir com cautela do que ter uma surpresa desagradável.
