No son solo las empresas legítimas las que buscan impulsar la rentabilidad a través de modelos -aaS, porque esta nueva suscripción de MaaS (malware como servicio) ofrece a los ciberdelincuentes la actividad de alquilar el acceso a un troyano que puede robar sus datos bancarios.
La botnet, llamada Nexus, estuvo disponible por primera vez en un foro en enero de 2023 cuando se describió como un proyecto «muy nuevo» que estaría en «desarrollo continuo», aunque estaba disponible a un costo de $ 3,000 por mes.
Sin embargo, la firma italiana de ciberseguridad Cleafy (se abre en una pestaña nueva) ahora dice que existe desde junio de 2022 y comparte algunas similitudes de código con un troyano bancario de Android que surgió a mediados de 2021.
Troyano bancario Android
Como parte del código de conducta de MaaS, los usuarios tienen prohibido usar Nexus en Rusia y otros estados de la CEI. El código indica esto, ya que ignora a Azerbaiyán, Armenia, Bielorrusia, Kazajstán, Kirguistán, Moldavia, la Federación Rusa, Tayikistán, Uzbekistán, Ucrania e Indonesia.
Funciona robando contraseñas de aplicaciones bancarias, e incluso aquellas protegidas con autenticación de dos factores (2FA) no son necesariamente seguras porque el troyano puede acceder a ciertas funciones de accesibilidad que exponen los códigos SMS y Google Authenticator para facilitar su uso.
Una vez que Nexus se instala en el dispositivo de una víctima desprevenida, se conecta a un servidor C2 y proporciona un panel web C2 para que los ciberdelincuentes lleven a cabo sus ataques y reciban datos robados.
A pesar de sus similitudes con un troyano anterior, los investigadores concluyeron que se trata de un nuevo ataque operado por un grupo diferente. Esto, combinado con su infancia y la amenaza de un desarrollo continuo, hace que valga la pena vigilarlo, mientras que se insta a los clientes de banca en línea a asegurarse de que sus cuentas permanezcan protegidas por múltiples capas.