Trojan Nexus Banking

Bankovní trojan Nexus je typ mobilního malwaru, který cílí na operační systémy Android. Hrozba je v podstatě přeznačená verze dříve identifikovaného a sledovaného bankovního trojana SOVA. Jeho primárním cílem je ukrást bankovní a finanční informace z infikovaných zařízení svých obětí. Má však také různé škodlivé funkce, které z něj dělají významnější hrozbu.

Nexus může provádět akce, jako je krádež přihlašovacích údajů pro jiné aplikace, nahrávání zvuku a pořizování snímků obrazovky. Tento typ malwaru může také provádět spywarové funkce, jako je přístup ke kontaktům, zprávám a dalším citlivým informacím uloženým v zařízení. Jako takový představuje významnou hrozbu pro osobní soukromí i kybernetickou bezpečnost. Podrobnosti o bankovním trojanovi Nexus Android zveřejnili vědci z Cyble.

Trojan Nexus Banking sbírá citlivé informace z infikovaných zařízení

Malware Nexus získává kontrolu nad zařízeními uživatelů zneužíváním služeb pro usnadnění přístupu Android. Tato legitimní funkce je určena jako způsob, jak pomoci uživatelům snadněji ovládat jejich zařízení simulací kliknutí, čtením zobrazeného textu atd. Jakmile malware pronikne do zařízení (obvykle maskovaného jako legitimní aplikace), požádá uživatele, aby povolili služby usnadnění, které mohou se strojem komunikovat různými způsoby.

Po získání kontroly nad službami usnadnění může Nexus povýšit svá oprávnění a udělit si další oprávnění, včetně možnosti zabránit uživatelům v deaktivaci služeb usnadnění a deaktivovat Google Play Protect a další opatření pro zabezpečení heslem.

Nexus shromažďuje různé informace o zařízení, včetně modelu telefonu, verze operačního systému, IMEI, stavu baterie, IP adresy (geolokace), ID karty SIM, telefonního čísla a dat mobilní sítě. Malware se konkrétně zaměřuje na více než čtyřicet populárních bankovních aplikací, kontroluje seznam aplikací nainstalovaných v zařízení a stahuje příslušný HTML kód pro každou bankovní aplikaci. Tento kód vytvoří falešné překrytí, které se spustí, když uživatel interaguje s legitimní bankovní aplikací, a vyzve uživatele, aby zadal své přihlašovací údaje.

Jakmile uživatel zadá své přihlašovací údaje, malware je odešle útočníkům a umožní jim přístup k bankovnímu účtu uživatele. Vzhledem k tomu, že malware je schopen zabránit uživateli v deaktivaci služeb usnadnění, může nadále shromažďovat citlivé informace a kompromitovat zařízení uživatele.

Trojan Nexus Banking získává kontrolu nad narušenými zařízeními

Trojan Nexus je škodlivý software, který má různé funkce, které mu pomáhají získat kontrolu nad citlivým obsahem, zejména bankovními účty. Jednou z jeho klíčových schopností je schopnost zaznamenávat stisknuté klávesy (keylogging), kterou lze použít k zachycení přihlašovacích údajů a dalších citlivých informací.

Kromě toho může Nexus také spravovat SMS zprávy, hovory a upozornění. Dokáže číst, zachycovat, skrývat, mazat a dokonce odesílat textové zprávy na konkrétní čísla nebo všechny kontakty. To mu umožňuje získávat OTP a 2FA/MFA odeslané prostřednictvím textových zpráv a také informace z Google Authenticator.

Nexus může také provádět tajné telefonní hovory a přesměrovávat je, stejně jako měnit kontaktní údaje. To znamená, že by mohl být použit pro malware Toll Fraud. Může posílat zprávy všem kontaktům, což by mohlo mít za následek šíření spamových SMS zpráv.

Kromě toho může trojský kůň spravovat oznámení čtením, zachycováním, skrýváním a dokonce zobrazováním falešných. Může také kontrolovat běžící procesy, odstraňovat programy, otevírat aplikace, zamykat/odemykat zařízení, ztlumit/zrušit zvuk, otevírat adresy URL prostřednictvím prohlížečů, zobrazovat falešná překryvná upozornění systému, získávat seznamy uživatelských účtů a získávat přihlašovací údaje a zůstatky pro kryptoměnové peněženky.

Nexus může také číst a odstraňovat soubory z připojeného externího úložiště, což by mohlo být použito ke způsobení řetězových infekcí vkládáním dalšího škodlivého obsahu do zařízení. Ačkoli se v současné době zdá, že se používá především k získávání injekčních balíčků HTML pro bankovní aplikace, mohl by být potenciálně upraven tak, aby infikoval zařízení dalším malwarem, jako je ransomware.