Rester en sécurité en ligne semble de plus en plus difficile au fil des jours, même avec des les gestionnaires de mots de passe en proie aux pirates. Les mauvais acteurs qui ne peuvent pas se donner la peine de développer leurs propres utilitaires à partir de zéro peuvent même utiliser des solutions clés en main comme MaaS (malware as a service) pour infecter les appareils et distribuer une charge utile personnalisée et néfaste. Les chercheurs en sécurité ont découvert la résurgence d’un tel MaaS appelé Nexus, conçu pour capturer les informations bancaires de votre appareil Android à l’aide d’un cheval de Troie.
Cabinet de cybersécurité Cléafy analysé le modus operandi de Nexus à l’aide d’échantillons de données provenant de forums clandestins (via Tech Radar). Ce botnet a été identifié pour la première fois en juin de l’année dernière et permet à ses clients d’effectuer des attaques de prise de contrôle de compte (ATO) moyennant des frais mensuels de 3 000 $. Nexus fait des incursions dans votre appareil Android déguisé en application légitime contenant un cheval de Troie malveillant sur des magasins d’applications Android tiers louches. Une fois infectés, les appareils de la victime font partie du botnet contrôlé par le pirate.
Le botnet Android Nexus annoncé à la location sur un forum clandestin
Nexus est un malware puissant, capable de keylogger pour enregistrer vos identifiants de connexion dans diverses applications. Il peut également voler des codes et des informations d’authentification à deux facteurs (2FA) fournis par SMS à partir du système relativement sécurisé Application Google Authenticator, le tout à votre insu. Le logiciel malveillant peut supprimer les SMS 2FA après avoir volé les codes, se mettre à jour automatiquement en arrière-plan et distribuer également des logiciels malveillants supplémentaires – juste un cauchemar, tout autour.
Captures d’écran du panneau Web Nexus
Étant donné que les appareils victimes font partie du botnet, les acteurs de la menace utilisant Nexus peuvent utiliser un simple panneau Web pour surveiller à distance tous les bots (appareils infectés) et les données récoltées à partir d’eux. L’interface aurait permis la personnalisation de Nexus et prend en charge l’injection à distance d’environ 450 pages de connexion d’applications bancaires d’apparence légitime pour voler des informations d’identification.
Techniquement, Nexus est une évolution du cheval de Troie bancaire SOVA de mi-2021. Bien que Cleafy affirme que le premier semble toujours être en développement bêta, le code source de SOVA a été volé par un opérateur de botnet Android (parler d’éthique parmi les voleurs) qui a loué le MaaS populaire et plus ancien. L’entité qui exploite Nexus a utilisé des morceaux de ce code source volé, puis a ajouté des éléments dangereux comme un module de ransomware capable de vous empêcher d’accéder à votre appareil avec le cryptage AES – bien que ce bit semble être inactif pour le moment.
Commandes partagées entre Nexus et SOVA
En conséquence, Nexus partage les commandes et les protocoles de contrôle avec son tristement célèbre prédécesseur, y compris en ignorant les appareils dans les mêmes pays de la liste blanche que SOVA – le matériel fonctionnant en Azerbaïdjan, en Arménie, en Biélorussie, au Kazakhstan, au Kirghizistan, en Moldavie, en Russie, au Tadjikistan, en Ouzbékistan, en Ukraine et L’Indonésie est ignorée, même si le cheval de Troie est installé. Vous remarquerez peut-être que la plupart de ces pays sont membres de la Communauté des États indépendants (CEI).
En raison de la nature semblable à un cheval de Troie du logiciel malveillant, sa détection sur un appareil Android peut être difficile. Les signaux d’alarme possibles pourraient être de voir des pics anormaux dans les données mobiles et l’utilisation du Wi-Fi, indiquant généralement que des logiciels malveillants communiquent avec l’appareil du pirate ou se mettent à jour en arrière-plan. Une décharge anormale de la batterie lorsque l’appareil n’est pas utilisé activement peut également être un signe révélateur d’une activité en arrière-plan provenant d’un logiciel malveillant. Si vous découvrez l’un de ces problèmes, nous vous suggérons de réinitialiser votre appareil en usine après avoir sauvegardé des fichiers importants ou de contacter un expert qualifié en cybersécurité.
Pour protéger vos appareils Android contre les logiciels malveillants dangereux tels que Nexus, téléchargez toujours des applications à partir de sources fiables telles que Google Play Store. Assurez-vous également que vous exécutez le dernier correctif de sécurité disponible et que vous n’accordez aux applications que les autorisations essentielles à leur fonctionnement – une application de galerie d’images ne devrait pas avoir besoin d’accéder à vos journaux d’appels.
Cleafy n’a pas révélé à quel point le botnet Nexus est répandu, mais de nos jours, vous ne pouvez jamais être trop prudent.