Троянски кон за Android Nexus

Нововъзникващ банков троянски кон за Android, известен като „Nexus“, вече е добавен към злонамерените инструменти на няколко заплахи. Киберпрестъпниците са използвали заплахата, за да атакуват приблизително 450 финансови приложения и да извършват измамни дейности.

Според италианската служба за киберсигурност, която публикува доклад за заплахата, Nexus изглежда е в ранен етап на развитие. Троянският кон обаче предоставя всички необходими функции за извършване на атаки за поглъщане на акаунт (ATO) срещу банкови портали и услуги за криптовалута, като кражба на идентификационни данни за вход и прихващане на SMS съобщения. Злонамерените способности на Nexus го правят сложен и опасен банков троян, който може да причини значителни финансови щети на своите жертви. Nexus е проектиран специално за компрометиране на устройства с Android.

Банковият троян Nexus се предлага като абонаментна услуга

Беше открито, че троянският кон Nexus Banking се предлага за продажба на различни хакерски форуми за $3000 на месец като схема MaaS (Malware-as-a-Service). Въпреки това има доказателства, които предполагат, че троянският кон може вече да е бил внедрен в атаки в реалния свят още през юни 2022 г., поне шест месеца преди официалното му обявяване в порталите на даркнет.

Авторите на зловреден софтуер са потвърдили, че по-голямата част от инфекциите на Nexus са докладвани в Турция, според собствения им канал в Telegram. Освен това е установено, че заплахата от злонамерен софтуер се припокрива с друг банков троянски кон, наречен SOVA, като всъщност повторно използва части от неговия изходен код. Троянският кон Nexus също съдържа модул за рансъмуер, който изглежда се разработва активно.

Интересното е, че авторите на Nexus са задали изрични правила, забраняващи използването на техния зловреден софтуер в няколко страни, включително Азербайджан, Армения, Беларус, Казахстан, Киргизстан, Молдова, Русия, Таджикистан, Узбекистан, Украйна и Индонезия.

Обширен списък на заплашващите способности, открити в банковия троян Nexus

Nexus е специално проектиран за получаване на неоторизиран достъп до банкови сметки и сметки в криптовалута на потребителите чрез използване на различни техники като атаки с наслагване и записване на клавиатури. Чрез тези методи зловредният софтуер краде идентификационните данни за вход на потребителите и друга чувствителна информация.

В допълнение към тези тактики, зловредният софтуер има способността да чете кодове за двуфакторно удостоверяване (2FA), както от SMS съобщения, така и от приложението Google Authenticator. Това става възможно чрез използването на услуги за достъпност в Android.

Освен това злонамереният софтуер е подобрен с нови функционалности, като например възможността за премахване на получени SMS съобщения, активиране или дезактивиране на модула за кражба на 2FA и самообновяване чрез периодична комуникация със сървър за командване и контрол (C2). Тези нови функции правят зловредния софтуер още по-опасен и труден за откриване.