Nexus puede robar tus contraseñas bancarias e incluso eludir la autenticación de dos factores
El malware es una desafortunada realidad en el mundo digital que hemos construido para nosotros mismos. Dado que todos nuestros dispositivos funcionan con código, los malos actores pueden usar código malicioso para controlar esos dispositivos o instalar programas que roben información de ellos.
Sin embargo, algunos malos actores no escriben este código ellos mismos. Más bien, pagan a otros para que alquilen su malware, en lo que se conoce como MaaS o "malware como servicio". Este último malware de Android es el ejemplo más reciente que hemos visto, y es muy peligroso.
Según informa TechRadar, la nueva botnet se llama Nexus y apareció por primera vez en los mercados clandestinos en enero de este año. Sin embargo, una investigación de Cleafy confirma que el malware ha estado activo desde junio de 2022 e incluso contiene un código similar a otro tipo de malware bancario para Android que vimos en 2021. Dado que Nexus es un MaaS, los clientes pueden pagar $3.000 al mes por el acceso a Nexus, un pequeño precio a pagar por lo que el malware puede brindarles.
Nexus está diseñado para extraer contraseñas de aplicaciones bancarias mediante el registro de teclas (es decir, observando todo lo que escribes para descubrir tus contraseñas), pero eso ni siquiera es lo que lo hace particularmente peligroso. Incluso si esas aplicaciones bancarias están protegidas con autenticación de dos factores (2FA), Nexus puede eludir la seguridad porque puede aprovechar las opciones de accesibilidad que revelan los códigos SMS y Google Authenticator. Incluso puede deshabilitar 2FA basado en SMS una vez que roba los códigos, lo que hace que sea extremadamente difícil para ti obtener acceso a tu cuenta.
Una vez que los actores malintencionados instalan Nexus en tu máquina, el malware los informa a través de un servidor de comando y control (C2), una técnica que permite a los hackers mantener comunicaciones con el malware después de la instalación inicial. Debido a que Nexus es una botnet, funciona conectando en una red muchos dispositivos infectados diferentes. Los malos actores pueden monitorear todos los dispositivos en su botnet, con fácil acceso a los datos que extraen de cada uno.
Es común que los proveedores de MaaS impongan restricciones en las geografías donde sus clientes pueden realizar ataques utilizando malware alquilado o comprado. Los autores de Nexus, por ejemplo, tienen una regla de "código de conducta" que prohíbe el uso de su malware en Rusia y los países de la Comunidad de Estados Independientes (CEI).
Imagen: Hilo de Nexus en un foro de piratería
¿Cómo termina Nexus en tu dispositivo Android?
Según Android Police, Nexus está "disfrazado como una aplicación legítima que contiene un troyano malicioso en tiendas maliciosas de aplicaciones de Android de terceros", pero no parece haber ningún programa específico identificado en este momento que contenga el malware. Eso es un problema, porque significa que no sabemos qué programa evitar en el futuro.
Hasta que surjan más detalles sobre Nexus, deberás emplear algunas de las mejores prácticas para evitar el malware, así como otros malware en el ciberespacio. Desafortunadamente, eso significa evitar aplicaciones de mercados de terceros a menos que puedas verificar al 100% su seguridad. Si bien una gran ventaja para Android es la capacidad de descargar aplicaciones que no se encuentran en Play Store, los usuarios maliciosos aprovechan la práctica para vincular aplicaciones con malware. Ten cuidado.
Por supuesto, también hay muchos ejemplos de aplicaciones maliciosas que llegan a Play Store. Al elegir una nueva aplicación para descargar, revisa siempre la lista con cuidado, buscando algo fuera de lo común. ¿La descripción de la aplicación coincide con su título o capturas de pantalla? ¿Está bien escrita la copia o está plagada de errores? Verifica las reseñas: ¿Los usuarios tienen genuinos pensamientos positivos sobre la aplicación o tienen quejas, como anuncios emergentes y publicidad engañosa?
