Scopriamo Nexus, trojan bancario per Android

L’universo digitale continua a evolversi a un ritmo accelerato, offrendo alle persone un accesso sempre più ampio a servizi finanziari online tramite dispositivi mobili.

Purtroppo, questa crescente facilità d’uso e comodità ha anche attirato l’attenzione dei cybercriminali, che cercano di sfruttare le vulnerabilità nel sistema per ottenere informazioni personali e finanziarie.

Uno dei più recenti esempi di malware progettato per rubare dati bancari è Nexus, un banking trojan che prende di mira gli utenti Android.

Trojan Bancario Nexus: analizziamolo più da vicino
Nexus: modalità di funzionamento
Come ci si protegge da Nexus?
Conclusioni

Trojan Bancario Nexus: analizziamolo più da vicino

Nexus è un trojan bancario appositamente progettato per attaccare dispositivi Android.

Secondo le informazioni fornite dagli analisti di sicurezza di Cyble, Nexus è stato identificato come una variante rinominata del trojan bancario S.O.V.A.

Scoperto a gennaio 2003, il malware viene venduto sui forum del dark web a circa 3000 dollari al mese.

Uno dei principali vettori di contagio (e finora l’unico ufficialmente documentato) sembrerebbe essere l’app Youtube Vanced, spesso impiegata per guardare video senza pubblicità.

L’aspetto che più stupisce è il suo essere in grado di clonare circa 450 app finanziarie, facendo credere agli utenti di star immettendo le proprie credenziali in un’app legittima.

Tuttavia, queste vengono inviate ad un server di comando e controllo gestito direttamente dall’attaccante, che funge:

sia da collettore di informazioni e dati finanziari esfiltrati
sia da punto di diffusione di aggiornamenti e funzionalità.

Non solo: qualora per l’autenticazione fosse attivo un sistema di 2fa tramite SMS, Nexus sarebbe anche in grado di intercettare l’OTP.

Nexus si concentra principalmente sul furto di informazioni bancarie e finanziarie, anche se le sue funzionalità malevole non si limitano soltanto a questo.

Analizziamone quindi meccanismi e modalità di funzionamento.

Nexus: modalità di funzionamento

Una volta installato, il trojan bancario Nexus richiede agli utenti di abilitare i servizi di accessibilità Android, progettati per fornire funzionalità aggiuntive e permettere alle persone con disabilità di interagire con il dispositivo.

Questi consentono diverse interazioni con il dispositivo, come:

TalkBack: screen reader che legge il contenuto dello schermo ad alta voce
Zoom di accessibilità: consente di ingrandire l’intero schermo o una parte specifica dello stesso
Sottotitoli dal vivo: permette di visualizzare i sottotitoli in tempo reale durante la riproduzione di contenuti multimediali
Selezione di parole: Questa funzione consente di selezionare parole o blocchi di testo specifici sullo schermo tramite gesti o pulsanti
Comandi vocali: Android offre un sistema di riconoscimento vocale che consente di controllare il dispositivo e le applicazioni tramite comandi vocali
Gestione delle notifiche: i servizi di accessibilità offrono opzioni per personalizzare la gestione delle notifiche

Sfruttando questi servizi, il malware ottiene il controllo completo su tutte le funzionalità attivabili da remoto dello smartphone.

Dopo aver ottenuto l’abilitazione dei servizi di accessibilità, Nexus può aumentare i suoi privilegi e ottenere ulteriori autorizzazioni.

In tal modo, riesce a:

impedire agli utenti di disabilitare i servizi di accessibilità Android
disattivare le misure di sicurezza della password e Google Play Protect

Tra le prime informazioni che Nexus esfiltra, rientrano:

il modello del telefono
la versione del sistema operativo
l’IMEI, ovvero il codice univoco che identifica un dispositivo mobile
lo stato della batteria
l’indirizzo IP
l’ID della scheda SIM
il numero di telefono
i dati della rete mobile.

Per quanto riguarda nello specifico il furto di informazioni finanziarie, invece, il trojan:

rileva le app installate sul dispositivo
se trova una corrispondenza, scarica un codice di iniezione HTML appropriato. Questo codice fa sì che alla schermata legittima dell’app. se ne sovrapponga una identica, ma contraffatta. Una volta che l’utente inserisce le credenziali di accesso, il malware le invia agli attaccanti.

Oltre al furto delle credenziali bancarie, Nexus ha altre funzionalità per ottenere il controllo sui conti bancari e altri dati sensibili.

Può infatti:

registrare le sequenze di tasti (keylogging)
effettuare e inoltrare chiamate
manipolare le informazioni di contatto
intercettare e manipolare messaggi di testo

Sono proprio queste ultime a consentono a Nexus di ottenere password monouso (OTP) inviate tramite SMS.

Il trojan è in grado di agire in modo discreto e può alterare le informazioni di contatto.

Inoltre, il suo controllo sugli SMS e sulle chiamate lo rende potenzialmente utilizzabile per frodi telefoniche.

Come ci si protegge da Nexus?

Come ogni altra minaccia, anche Nexus richiede l’adozione di misure di sicurezza adeguate.

Ecco alcuni suggerimenti utili per prevenire l’infezione:

Aggiornare regolarmente il sistema operativo: mantenere il dispositivo Android aggiornato con le ultime versioni del sistema operativo è fondamentale per garantire la sicurezza. Gli aggiornamenti includono spesso correzioni di sicurezza che possono prevenire vulnerabilità sfruttate dai trojan bancari
Scaricare app solo da fonti affidabili: evitare di installare app provenienti da fonti non ufficiali o sospette. Utilizzare solo i negozi di app ufficiali come Google Play Store, in quanto effettuano controlli di sicurezza per ridurre il rischio di malware
Leggere le recensioni e le valutazioni delle app: prima di installare un’app, leggere le recensioni degli utenti e le valutazioni per verificare la sua affidabilità. Prestare attenzione anche alle autorizzazioni richieste dall’app durante l’installazione e, se sembrano eccessive o sospette, potrebbe essere meglio evitare l’installazione
Utilizzare un software antivirus affidabile: installare un’app antivirus affidabile per Android può aiutare a rilevare e rimuovere malware come Nexus. Assicurarsi di tenere sempre aggiornato l’antivirus per garantire una protezione ottimale
Fare attenzione alle e-mail e ai messaggi di testo sospetti: evitare di cliccare su link o allegati provenienti da fonti sconosciute o sospette. Questi potrebbero essere mezzi utilizzati per diffondere malware come Nexus. Mantenere una buona pratica di sicurezza evitando di fornire informazioni personali o finanziarie tramite e-mail o messaggi di testo non sicuri.
Utilizzare autenticazione a due fattori (2FA): attivare l’autenticazione a due fattori per le app e i servizi bancari che lo supportano. Questa misura di sicurezza aggiuntiva richiede un secondo fattore, come un codice inviato tramite SMS o generato da un’app, oltre alle credenziali di accesso standard, che diminuisce le probabilità di attacchi di account takeover
Monitorare regolarmente le transazioni bancarie: controllare attentamente i propri conti bancari per rilevare eventuali attività sospette o transazioni non autorizzate. Segnalare immediatamente eventuali anomalie alla propria banca o istituto finanziario.

Conclusioni

Nexus rappresenta una minaccia significativa per gli utenti Android che utilizzano servizi finanziari online. La sua capacità di infettare dispositivi, intercettare informazioni personali e finanziarie e aggirare le misure di sicurezza delle banche rende fondamentale adottare precauzioni per proteggersi da questo banking trojan.

Gli utenti devono essere consapevoli dei rischi associati all’installazione di applicazioni da fonti non ufficiali e devono adottare misure di sicurezza proattive, come mantenere il sistema operativo aggiornato, utilizzare software antivirus affidabili e prestare attenzione ai link e agli allegati sospetti.

La consapevolezza, l’educazione e la pratica di buone abitudini di sicurezza digitale sono essenziali per contrastare minacce come Nexus e proteggere le informazioni personali e finanziarie dagli attacchi dei cybercriminali.

Autore articolo
Gli ultimi articoli

Anna Orrù

Classe 1990, dopo la laurea in Scienze Politiche mi sono trasferita in Inghilterra. Ho sempre amato la scrittura e ad oggi mi occupo, oltre che di digital marketing, di copywriting e Seo. La curiosità guida ogni ambito in cui opero, infatti non smetto mai di aggiornarmi e studiare.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.