Nexus Android Trojan

تمت إضافة حصان طروادة المصرفي الناشئ الذي يعمل بنظام Android والمعروف باسم "Nexus" إلى الأدوات الخبيثة للعديد من الجهات الفاعلة في مجال التهديد. استخدم مجرمو الإنترنت التهديد لاستهداف ما يقرب من 450 تطبيقًا ماليًا وتنفيذ أنشطة احتيالية.

وفقًا للأمن السيبراني الإيطالي الذي أصدر تقريرًا عن التهديد ، يبدو أن Nexus في مراحله الأولى من التطوير. ومع ذلك ، يوفر حصان طروادة جميع الميزات الضرورية لإجراء هجمات الاستيلاء على الحساب (ATO) ضد البوابات المصرفية وخدمات العملات المشفرة ، مثل سرقة بيانات اعتماد تسجيل الدخول واعتراض رسائل SMS. تجعل الإمكانات الخبيثة لـ Nexus حصان طروادة مصرفيًا معقدًا وخطيرًا يمكن أن يتسبب في أضرار مالية كبيرة لضحاياها. تم تصميم Nexus خصيصًا لاختراق أجهزة Android.

يتم تقديم حصان طروادة المصرفي من Nexus كخدمات اشتراك

تم اكتشاف حصان طروادة Nexus Banking معروض للبيع في منتديات القرصنة المختلفة مقابل 3000 دولار شهريًا كمخطط MaaS (Malware-as-a-Service). ومع ذلك ، هناك دليل يشير إلى أن حصان طروادة ربما تم نشره بالفعل في هجمات في العالم الحقيقي في وقت مبكر من يونيو 2022 ، قبل ستة أشهر على الأقل من إعلانه الرسمي على بوابات الشبكة المظلمة.

أكد مؤلفو البرامج الضارة أنه تم الإبلاغ عن غالبية إصابات Nexus في تركيا ، وفقًا لقناة Telegram الخاصة بهم. علاوة على ذلك ، تم اكتشاف أن تهديد البرامج الضارة يتداخل مع برنامج طروادة مصرفي آخر يسمى SOVA ، وهو في الواقع يعيد استخدام أجزاء من كود المصدر الخاص به. يحتوي Nexus Trojan أيضًا على وحدة برامج الفدية التي يبدو أنها تم تطويرها بنشاط.

ومن المثير للاهتمام أن مؤلفي Nexus قد وضعوا قواعد صريحة تحظر استخدام برامجهم الضارة في العديد من البلدان ، بما في ذلك أذربيجان وأرمينيا وبيلاروسيا وكازاخستان وقيرغيزستان ومولدوفا وروسيا وطاجيكستان وأوزبكستان وأوكرانيا وإندونيسيا.

قائمة موسعة بالقدرات المهددة الموجودة في Nexus Banking Trojan

تم تصميم Nexus خصيصًا للحصول على وصول غير مصرح به إلى حسابات المستخدمين المصرفية والعملات المشفرة من خلال استخدام تقنيات مختلفة مثل هجمات التراكب وتسجيل لوحة المفاتيح. من خلال هذه الأساليب ، يسرق البرنامج الضار بيانات اعتماد تسجيل دخول المستخدمين والمعلومات الحساسة الأخرى.

بالإضافة إلى هذه الأساليب ، تمتلك البرامج الضارة القدرة على قراءة رموز المصادقة الثنائية (2FA) ، سواء من رسائل SMS أو تطبيق Google Authenticator. أصبح هذا ممكنًا من خلال استغلال خدمات إمكانية الوصول في Android.

علاوة على ذلك ، تم تحسين البرامج الضارة بوظائف جديدة ، مثل القدرة على إزالة رسائل SMS المستلمة ، وتفعيل أو إلغاء تنشيط وحدة 2FA stealer ، وتحديث نفسها عن طريق الاتصال بشكل دوري بخادم القيادة والتحكم (C2). تجعل هذه الميزات الجديدة البرامج الضارة أكثر خطورة ويصعب اكتشافها.