Vous devriez avoir honte si vous pensiez que le monde numérique était plus sûr que le monde réel. Il ne se passe pas un jour sans qu’une entreprise subisse une violation de données. Vous ne pouvez pas nommer une entreprise qui n’a pas eu un tel problème. De plus, les plus grandes fuites de données se sont produites chez les grandes marques. Nous supposons que vous blâmez ces entreprises pour la faiblesse des mesures de sécurité. Mais c’est un problème mondial, et ils (et nous) ne sommes pas des saints. Récemment, nous avons entendu parler d’un nouveau cheval de Troie bancaire Android qui cible 450 applications bancaires et financières différentes. Il s’appelle Nexus, et c’est une évolution du cheval de Troie bancaire SOVA mi-2021. En fait, ce botnet a été découvert il y a un an.

Il s’avère que ce cheval de Troie bancaire Android est un outil commun que de nombreux acteurs malveillants peuvent utiliser. Autrement dit, les mauvais acteurs qui n’ont pas leur propre MaaS (malware as a service) peuvent mettre la main sur Nexus et gagner de l’argent avec. Selon Cleafy, n’importe qui, n’importe quel pirate informatique, peut l’utiliser pour effectuer des attaques de prise de contrôle de compte (ATO) moyennant des frais mensuels de 3 000 $.

Comment fonctionne ce cheval de Troie bancaire Android ?

Le cheval de Troie bancaire Android envahit votre système Android en se faisant passer pour une application légitime. Cependant, une fois dans le système, l’appareil de la victime fait partie du botnet contrôlé par le pirate.

Comme d’autres enregistreurs de frappe, Nexus peut enregistrer vos identifiants de connexion dans diverses applications. Nous savons ce que vous pensez – l’authentification à deux facteurs (2FA). Mais ce n’est pas le cas lorsqu’il peut vous aider à protéger vos comptes bancaires. Le fait est que Nexus peut voler des codes 2FA et des informations envoyées par SMs depuis l’application Google Authenticator. Pire encore, vous ne le saurez pas car le cheval de Troie supprimera les SMs 2FA après avoir volé les codes.

Une fois que l’appareil de la victime fait partie du botnet, le pirate peut le surveiller à distance via un panneau Web et même faire des ajustements. Actuellement, il peut voler les identifiants bancaires de 450 applications bancaires.

SOVA évalué

Il y a quelques années, il existait un MaaS similaire appelé SOVA. Cependant, son code source a été volé par un opérateur de botnet Android. Nexus a été construit sur le noyau de SOVA et le code volé. Cependant, ceux qui ont créé Nexus ont également ajouté « des éléments dangereux tels qu’un module ransomware qui peut vous empêcher d’accéder à votre appareil avec le cryptage AES ».

Bonne nouvelle pour ceux des pays suivants : Azerbaïdjan, Arménie, Biélorussie, Kazakhstan, Kirghizistan, Moldavie, Russie, Tadjikistan, Ouzbékistan, Ukraine et Indonésie. Ce cheval de Troie bancaire Android ne fonctionnera pas sur les appareils des pays ci-dessus (chanceux pour moi). La plupart de ces pays sont membres de la Communauté des États indépendants (CEI).

Difficile à découvrir

Il s’agit d’un logiciel malveillant cheval de Troie. Ce n’est donc pas facile à détecter dans Android. Mais si vous remarquez un comportement étrange de votre smartphone, comme une décharge anormale de la batterie ou des pics anormaux d’utilisation des données mobiles et du Wi-Fi, il est préférable d’effectuer une réinitialisation d’usine sur votre téléphone Android.

Une autre recommandation consiste à télécharger des applications à partir de sources fiables telles que Google Play Store. Vous devez également vous assurer que votre téléphone exécute le dernier correctif de sécurité disponible et que vous n’accordez aux applications que les autorisations dont elles ont besoin pour s’exécuter.

Jusqu’à présent, il n’y a aucune information sur l’étendue du botnet Nexus. Mais cela ne devrait pas vous faire rester assis.

