Банков троян Nexus

Банковият троян Nexus е вид мобилен злонамерен софтуер, насочен към операционни системи Android. Заплахата е по същество ребрандирана версия на по-рано идентифицирания и проследен банков троян SOVA. Основната му цел е да открадне банкова и финансова информация от заразените устройства на своите жертви. Той обаче има и различни злонамерени функции, които го правят по-значима заплаха.

Nexus може да извършва действия като кражба на идентификационни данни за вход за други приложения, запис на аудио и правене на екранни снимки. Този тип злонамерен софтуер може също да изпълнява шпионски функции като достъп до контакти, съобщения и друга чувствителна информация, съхранявана на устройството. Като такъв, той представлява значителна заплаха както за личната поверителност, така и за киберсигурността. Подробности за банковия троян Nexus Android бяха пуснати на обществеността от изследователите в Cyble.

Банковият троянски кон Nexus събира чувствителна информация от заразени устройства

Зловреден софтуер Nexus придобива контрол над устройствата на потребителите чрез злоупотреба с услугите за достъпност на Android. Тази легитимна функция е предназначена като начин да помогне на потребителите да работят по-лесно с устройствата си чрез симулиране на щраквания, четене на показания текст и т.н. След като злонамереният софтуер проникне в устройство (обикновено маскирано като легитимно приложение), той изисква от потребителите да активират услугите за достъпност, които могат да взаимодействат с машината по различни начини.

След като придобие контрол върху услугите за достъпност, Nexus може да ескалира своите привилегии и да си даде допълнителни разрешения, включително способността да попречи на потребителите да деактивират услугите за достъпност и да деактивира Google Play Protect и други мерки за защита на паролата.

Nexus събира различна информация за устройството, включително модел на телефона, версия на операционната система, IMEI, състояние на батерията, IP адрес (геолокация), ID на SIM картата, телефонен номер и данни за мобилна мрежа. Злонамереният софтуер е насочен конкретно към над четиридесет популярни банкови приложения, като проверява списъка с приложения, инсталирани на устройството, и изтегля подходящия код за инжектиране на HTML за всяко банково приложение. Този код създава фалшиво наслагване, което се задейства, когато потребителят взаимодейства с легитимното банково приложение, и подканва потребителя да въведе своите идентификационни данни за вход.

След като потребителят въведе своите идентификационни данни за вход, зловредният софтуер ги изпраща на нападателите, като им дава достъп до банковата сметка на потребителя. Тъй като зловредният софтуер е в състояние да попречи на потребителя да деактивира услугите за достъпност, той може да продължи да събира чувствителна информация и да компрометира устройството на потребителя.

Банковият троянски кон Nexus поема контрола върху пробитите устройства

Троянският кон Nexus е злонамерен софтуер, който има различни функции, които му помагат да придобие контрол върху чувствително съдържание, особено банкови сметки. Една от ключовите му способности е способността да записва натискания на клавиши (keylogging), което може да се използва за улавяне на идентификационни данни за влизане и друга чувствителна информация.

Освен това Nexus може също да управлява SMS съобщения, обаждания и известия. Може да чете, прихваща, скрива, изтрива и дори изпраща текстови съобщения до определени номера или всички контакти. Това му позволява да получава OTP и 2FA/MFA, изпратени чрез текстови съобщения, както и информация от Google Authenticator.

Nexus може също така да извършва скрити телефонни обаждания и да ги препраща, както и да променя информацията за контакт. Това означава, че може да се използва за злонамерен софтуер за Toll Fraud. Може да изпраща съобщения до всички контакти, което може да доведе до разпространение на спам SMS съобщения.

Освен това троянският кон може да управлява известия чрез четене, прихващане, скриване и дори показване на фалшиви. Може също така да проверява работещи процеси, да изтрива програми, да отваря приложения, да заключва/отключва устройството, да изключва/включва звука, да отваря URL адреси през браузъри, да показва наслагвания за фалшиви системни предупреждения, да получава списъци с потребителски акаунти и да получава идентификационни данни за вход и баланси за портфейли с криптовалута.

Nexus може също да чете и изтрива файлове от свързано външно хранилище, което може да се използва за причиняване на верижни инфекции чрез инжектиране на допълнително злонамерено съдържание в устройства. Въпреки че в момента изглежда, че се използва предимно за получаване на пакети за инжектиране на HTML за банкови приложения, потенциално може да бъде променен, за да зарази устройства с допълнителен злонамерен софтуер, като рансъмуер.