Nexus Banking Trojan

طروادة Nexus Banking هي نوع من البرامج الضارة للجوال التي تستهدف أنظمة تشغيل Android. التهديد هو في الأساس نسخة معدلة من SOVA Banking Trojan التي تم تحديدها وتتبعها مسبقًا. هدفها الأساسي هو سرقة المعلومات المصرفية والمالية من الأجهزة المصابة لضحاياها. ومع ذلك ، فإنه يحتوي أيضًا على العديد من الميزات الضارة التي تجعله تهديدًا أكثر خطورة.

يمكن لـ Nexus تنفيذ إجراءات مثل سرقة بيانات اعتماد تسجيل الدخول لتطبيقات أخرى وتسجيل الصوت والتقاط لقطات شاشة. يمكن لهذا النوع من البرامج الضارة أيضًا أداء وظائف برامج التجسس مثل الوصول إلى جهات الاتصال والرسائل والمعلومات الحساسة الأخرى المخزنة على الجهاز. على هذا النحو ، فإنه يشكل تهديدًا كبيرًا لكل من الخصوصية الشخصية والأمن السيبراني. تم نشر تفاصيل حول حصان طروادة Nexus Android Banking للجمهور من قبل الباحثين في Cyble.

تحصد أحصنة طروادة المصرفية من Nexus المعلومات الحساسة من الأجهزة المصابة

تتحكم برامج Nexus الضارة في أجهزة المستخدمين من خلال إساءة استخدام خدمات إمكانية الوصول في Android. الغرض من هذه الميزة المشروعة هو أن تكون وسيلة لمساعدة المستخدمين في تشغيل أجهزتهم بسهولة أكبر عن طريق محاكاة النقرات ، وقراءة النص المعروض ، وما إلى ذلك. وبمجرد أن تتسلل البرامج الضارة إلى جهاز (يتنكر عادةً في شكل تطبيق شرعي) ، فإنه يطلب من المستخدمين تمكين خدمات إمكانية الوصول ، والتي يمكن أن تتفاعل مع الجهاز بطرق مختلفة.

بعد السيطرة على خدمات إمكانية الوصول ، يمكن لـ Nexus تصعيد امتيازاتها ومنح نفسها أذونات إضافية ، بما في ذلك القدرة على منع المستخدمين من تعطيل خدمات إمكانية الوصول وإلغاء تنشيط Google Play Protect والتدابير الأمنية الأخرى لكلمة المرور.

يجمع Nexus معلومات مختلفة عن الجهاز ، بما في ذلك طراز الهاتف وإصدار نظام التشغيل و IMEI وحالة البطارية وعنوان IP (الموقع الجغرافي) ومعرف بطاقة SIM ورقم الهاتف وبيانات شبكة الجوال. تستهدف البرامج الضارة على وجه التحديد أكثر من أربعين تطبيقًا مصرفيًا شائعًا ، وتتحقق من قائمة التطبيقات المثبتة على الجهاز وتنزيل كود حقن HTML المناسب لكل تطبيق مصرفي. ينشئ هذا الرمز تراكبًا مزيفًا ، يتم تشغيله عندما يتفاعل المستخدم مع التطبيق المصرفي الشرعي ، ويطالب المستخدم بإدخال بيانات اعتماد تسجيل الدخول الخاصة به.

بمجرد قيام المستخدم بإدخال بيانات اعتماد تسجيل الدخول الخاصة به ، يرسلها البرنامج الضار إلى المهاجمين ، مما يمنحهم إمكانية الوصول إلى الحساب المصرفي للمستخدم. نظرًا لأن البرامج الضارة قادرة على منع المستخدم من تعطيل خدمات إمكانية الوصول ، فيمكنها الاستمرار في جمع المعلومات الحساسة وتعريض جهاز المستخدم للخطر.

برنامج Nexus Banking Trojan يتحكم في الأجهزة التي تم اختراقها

Nexus trojan هو برنامج ضار له وظائف مختلفة تساعده في التحكم في المحتوى الحساس ، وخاصة الحسابات المصرفية. تتمثل إحدى قدراته الرئيسية في القدرة على تسجيل ضغطات المفاتيح (keylogging) التي يمكن استخدامها لالتقاط بيانات اعتماد تسجيل الدخول وغيرها من المعلومات الحساسة.

بالإضافة إلى ذلك ، يمكن لـ Nexus أيضًا إدارة رسائل SMS والمكالمات والإشعارات. يمكنه قراءة الرسائل النصية واعتراضها وإخفائها وحذفها وحتى إرسالها إلى أرقام محددة أو جميع جهات الاتصال. هذا يسمح لها بالحصول على OTPs و 2FAs / MFAs المرسلة عبر الرسائل النصية ، بالإضافة إلى المعلومات من Google Authenticator.

يمكن لـ Nexus أيضًا إجراء مكالمات هاتفية متخفية وإعادة توجيهها ، بالإضافة إلى تغيير معلومات الاتصال. هذا يعني أنه يمكن استخدامه للبرامج الضارة Toll Fraud. يمكنه إرسال رسائل إلى جميع جهات الاتصال ، مما قد يؤدي إلى انتشار رسائل SMS العشوائية.

علاوة على ذلك ، يمكن لحصان طروادة إدارة الإشعارات من خلال قراءة الإشعارات واعتراضها وإخفائها وحتى إظهارها المزيفة. يمكنه أيضًا التحقق من العمليات الجارية ، وحذف البرامج ، وفتح التطبيقات ، وقفل / إلغاء قفل الجهاز ، وكتم الصوت / إلغاء كتم الصوت ، وفتح عناوين URL عبر المتصفحات ، وإظهار تراكبات تنبيه النظام المزيفة ، والحصول على قوائم حسابات المستخدمين ، والحصول على بيانات اعتماد تسجيل الدخول وأرصدة محافظ العملات المشفرة.

يمكن لـ Nexus أيضًا قراءة الملفات وحذفها من وحدة التخزين الخارجية المتصلة ، والتي يمكن استخدامها لإحداث عدوى متسلسلة عن طريق حقن محتوى ضار إضافي في الأجهزة. على الرغم من أنه يبدو أنه يُستخدم حاليًا في المقام الأول للحصول على حزم حقن HTML للتطبيقات المصرفية ، فمن المحتمل أن يتم تعديله لإصابة الأجهزة ببرامج ضارة إضافية ، مثل برامج الفدية.