© Shutterstock
© Shutterstock

Annoncé en début d'année, le malware Nexus commence à sérieusement inquiéter. Ciblant plus de 450 applications financières, il s'attaque aussi bien aux comptes bancaires qu'aux portefeuilles de cryptomonnaies.

À l'heure actuelle, les attaques visent essentiellement la Turquie, mais le malware est en plein développement et pourrait bientôt se répandre.

Nexus, un nouveau cheval de Troie

En début d'année, un nouveau logiciel malveillant clé en main dénommé Nexus est apparu sur les forums, même s'il est possible que les premières attaques aient eu lieu dès le mois de juin 2022. De façon assez classique, Nexus fournit aux utilisateurs les fonctionnalités nécessaires aux attaques de type Account Takeover (ATO), ce qui permet de viser les applications financières, de mettre en place des arnaques et d'intercepter les SMS. Dans les faits, Nexus semble réutiliser une partie du code de SOVA, un autre cheval de Troie, ajoutant au passage les prémices de ce qui semble être une fonctionnalité de ransomware.

Les attaques sont notamment menées par superposition et enregistrement des touches frappées par les utilisateurs des appareils Android infectés. Étudié par Cleafy, une société italienne de cybersécurité, Nexus semble n'en être qu'au début de son développement, même s'il est déjà actif. Si vous suivez l'actualité de la cybersécurité, vous vous souvenez peut-être de ce malware identifié en août 2022 comme étant une nouvelle variante de SOVA. Nexus est ce malware, et il est désormais parfaitement identifié.

© The Hacker News
© The Hacker News

La Turquie particulièrement visée ?

Nexus n'est pas un logiciel open source. Les pirates doivent donc payer, ce qui est possible par l'intermédiaire d'un abonnement dont le tarif est d'environ 3 000 dollars par mois. La somme paraît énorme, mais il faut tenir compte de ce que peuvent dérober les pirates. Leur activité peut, en principe, être mondiale, mais la plupart des attaques ont eu lieu en Turquie, laissant imaginer que le pays est directement visé. Rohit Bansal, chercheur en cybersécurité, a pu confirmer l'information, toutefois nuancée par les pirates eux-mêmes sur Telegram :

« Les gars, vos recherches sont vraiment bonnes. Mais il n'y a pas d'attaque contre la Turquie. Il est vrai qu'un large pourcentage de nos utilisateurs œuvrent en Turquie, mais nos cibles n'incluent pas de pays, d'orientation politique ou quoi que ce soit d'autre en particulier. S'il vous plaît, ne dénaturons pas nos attaques pendant nos recherches. Salutations aux chercheurs et aux amis curieux, faites correctement votre travail. »

Les pirates ont cependant interdit l'utilisation de Nexus dans un certain nombre de pays. Le malware ne peut donc pas être déployé en Azerbaïdjan, en Arménie, en Biélorussie, au Kazakhstan, en Kirghizistan, en Moldavie, en Russie, au Tadjikistan, en Ouzbékistan, en Ukraine et en Indonésie.