Nexus Android Trojan

Vznikající trojský kůň pro Android bankovnictví známý jako „Nexus“ již byl přidán do škodlivých nástrojů několika aktérů hrozeb. Kyberzločinci využili hrozbu k zacílení přibližně 450 finančních aplikací a k podvodným aktivitám.

Podle italské kybernetické bezpečnosti, která vydala zprávu o hrozbě, se zdá, že Nexus je v rané fázi vývoje. Trojan však poskytuje všechny potřebné funkce k provádění útoků převzetí účtu (ATO) proti bankovním portálům a kryptoměnovým službám, jako je krádež přihlašovacích údajů a zachycení SMS zpráv. Škodlivé schopnosti Nexusu z něj činí sofistikovaný a nebezpečný bankovní trojan, který může svým obětem způsobit značné finanční škody. Nexus je navržen speciálně tak, aby kompromitoval zařízení Android.

Trojan Nexus Banking je nabízen jako předplacená služba

Bylo zjištěno, že trojan Nexus Banking je nabízen k prodeji na různých hackerských fórech za 3 000 $ měsíčně jako schéma MaaS (Malware-as-a-Service). Existují však důkazy, které naznačují, že trojský kůň mohl být již nasazen v reálných útocích již v červnu 2022, tedy nejméně šest měsíců před jeho oficiálním oznámením na portálech darknet.

Autoři malwaru potvrdili, že většina infekcí Nexus byla hlášena v Turecku, podle jejich vlastního kanálu Telegram. Kromě toho bylo zjištěno, že hrozba malwaru se překrývá s jiným bankovním trojským koněm zvaným SOVA, který ve skutečnosti znovu používá části svého zdrojového kódu. Trojan Nexus také obsahuje modul ransomwaru, který se zdá být aktivně vyvíjen.

Je zajímavé, že autoři Nexusu stanovili explicitní pravidla zakazující používání jejich malwaru v několika zemích, včetně Ázerbájdžánu, Arménie, Běloruska, Kazachstánu, Kyrgyzstánu, Moldavska, Ruska, Tádžikistánu, Uzbekistánu, Ukrajiny a Indonésie.

Rozsáhlý seznam hrozivých schopností nalezených v Nexus Banking Trojan

Nexus je speciálně navržen tak, aby získal neoprávněný přístup k bankovním a kryptoměnovým účtům uživatelů pomocí různých technik, jako jsou překryvné útoky a keylogging. Prostřednictvím těchto metod malware krade přihlašovací údaje uživatelů a další citlivé informace.

Kromě těchto taktik má malware schopnost číst kódy dvoufaktorové autentizace (2FA), a to jak ze zpráv SMS, tak z aplikace Google Authenticator. To je možné díky využívání služeb přístupnosti v systému Android.

Kromě toho byl malware vylepšen o nové funkce, jako je schopnost odstraňovat přijaté SMS zprávy, aktivovat nebo deaktivovat modul 2FA zloděje a aktualizovat se periodickou komunikací s příkazovým a ovládacím (C2) serverem. Díky těmto novým funkcím je malware ještě nebezpečnější a obtížněji odhalitelný.