La empresa italiana de ciberseguridad Cleafy ha informado esta semana sobre la existencia de un malware llamado «Nexus» diseñado para vulnerar dispositivos Android y acceder a cuentas bancarias mediante el robo de credenciales. Ha sido clasificado como un troyano bancario que hace uso de la técnica «keylogging» para seguir y registrar cada dato que se introduzca en el móvil infectado.
Ha sido creada para atacar a 450 aplicaciones de bancos o financieras y realizar fraudes. Y lo peor de todos es que los creadores del malware Nexus ofrecen la opción de alquilarlo por 3000 dólares al mes con el objetivo de que cualquier persona puede integrarlo a su APK y distribuirlo fácilmente.
Nexus podría estar oculto en el próximo APK que instales y robar tus datos bancarios
Como mencionamos antes, el malware Nexus está a la venta y cualquier atacante puede comprarlo para añadirlo a un APK aparentemente inofensivo, como puede ser el de WhatsApp Plus, Nodogo o YouTube Vanced. Una vez que instalas el APK infectado con Nexus, remotamente el atacante puede activar el keylogger del virus, que no es más que una función que en silencio y de forma invisible registra todos los datos que introduzcas en el móvil, incluyendo nombres de usuarios, contraseñas, números de teléfono y de tarjetas, correos, mensajes privados, etc.
Toda la información privada que roba el keylogger de Nexus es enviada al servidor del atacante que tiene vía libre para hacer lo que quiera con ella. Pero ahí no se queda el malware. Si no es capaz de conseguir la información que busca con el keylogger, también puede abusar de los permisos de accesibilidad de Android para robar los códigos de autentificación en dos pasos, acceder a apps de criptomonedas y mensajería, etc.
Además, el malware cuenta con mecanismos avanzados para atacar las aplicaciones de bancos específicos de todas partes del mundo. Algunos de los bancos españoles que puede atacar son ING Direct, Bankinter, Ruralvía, BBVA, Santander, EvoBanco, Caja Laboral, Cajamar, Sabadell, Ibercaja y Caixabank. Y lo peor de todo es que la app es capaz de actualizarse en segundo plano sin intervención del usuario para incorporar nuevos mecanismos de hackeo.
Aún está en fase de desarrollo, pero ya se está usando
El malware Nexus, que apareció en varios foros de hacking a principios de año, se ha anunciado como un servicio de suscripción con una cuota mensual de 3000 dólares, con el matiz de que aún está en desarrollo. Sin embargo, hay indicios de que el malware podría haber sido utilizado en ataques reales ya en junio de 2022, al menos seis meses antes de su anuncio oficial en los portales de la darknet.
Para evitar que este tipo de malware se cuele en tu smartphone, evita descargar APK de sitios webs extraños. Y si, por lo que sea, te ves obligado a instalar una aplicación mediante APK, sigue este tutorial de cómo saber si un APK tiene virus sin descargarlo en tu móvil.
