Negli ultimi anni, i cybercriminali stanno sempre più mirando ai dispositivi mobili per compiere le loro attività illecite, con una particolare enfasi sugli smartphone e tablet Android che stanno diventando sempre più vulnerabili ai malware bancari. L’ultimo arrivato in questa categoria prende il nome di Nexus ed è particolarmente insidioso perché si nasconde in app di terze parti di YouTube.

Nexus è stato scoperto dalla società di sicurezza informatica Cleafy e da Cyble Research and Intelligence Labs (CRIL) nel giugno 2022. Il trojan bancario è distribuito attraverso siti di phishing che si presentano come siti legittimi di YouTube Vanced, un’app di terze parti per YouTube ormai da tempo non più in sviluppo. Una volta installato sul dispositivo, Nexus si collega al suo server di controllo e comando (C2), utilizzato dai criminali informatici per controllare il malware, lanciare attacchi e ricevere dati rubati.

Nexus può facilmente accedere a tutti i dati bancari dell’utente

Nexus è in grado di eseguire attacchi di overlay, ovvero replicare un’interfaccia legittima per indurre l’utente a inserire le proprie credenziali, e utilizza il keylogging per registrare i caratteri digitati sulla tastiera. Inoltre, il trojan può anche rubare i messaggi SMS per ottenere accesso ai codici di autenticazione a due fattori e può abusare dei servizi di accessibilità per rubare informazioni dai portafogli di criptovalute, i codici di verifica a due fattori generati da Google Authenticator e i cookie dei siti web.

Il trojan al momento si trova in una fase beta, ma è ampiamente pubblicizzato sui siti di hacker e può essere noleggiato facilmente per circa 3000 dollari al mese. Lo sviluppatore di Nexus sembra sia originario di un paese della CSI (Comunità degli Stati Indipendenti) e abbia proibito l’uso del trojan in Azerbaijan, Armenia, Bielorussia, Kazakistan, Kirghizistan, Moldavia, Federazione Russa, Tagikistan, Uzbekistan, Ucraina e Indonesia.

Proprio ieri vi abbiamo parlato di una lista di oltre 200 applicazioni malevole che possono infettare i vostri dispositivi. Per questo e qualunque altro trojan, i consigli per proteggersi dalle infezioni sono sempre gli stessi, ossia scaricare le applicazioni soltanto dal Google Play Store e verificarne comunque la provenienza evitando app di sviluppatori sconosciuti e con poche recensioni. È buona norma abilitare anche Google Play Protect e utilizzare le funzionalità di sicurezza biometrica dove possibile.