Nexus Android Trojan

En ny Android-banktrojaner kendt som 'Nexus' er allerede blevet føjet til flere trusselsaktørers ondsindede værktøjer. De cyberkriminelle har brugt truslen til at målrette omkring 450 finansielle ansøgninger og udføre svigagtige aktiviteter.

Ifølge italiensk cybersikkerhed, der udgav en rapport om truslen, ser Nexus ud til at være i sine tidlige udviklingsstadier. Trojaneren leverer dog alle de nødvendige funktioner til at udføre Account Takeover (ATO)-angreb mod bankportaler og kryptovalutatjenester, såsom at stjæle login-legitimationsoplysninger og opsnappe SMS-beskeder. Nexus' ondsindede egenskaber gør den til en sofistikeret og farlig banktrojaner, der kan forårsage betydelig økonomisk skade på sine ofre. Nexus er designet specifikt til at kompromittere Android-enheder.

Nexus Banking Trojan tilbydes som abonnementstjenester

Nexus Banking Trojan blev opdaget til salg på forskellige hackingfora for $3.000 om måneden som MaaS (Malware-as-a-Service)-ordning. Der er dog beviser, der tyder på, at trojaneren muligvis allerede er blevet indsat i angreb fra den virkelige verden så tidligt som i juni 2022, mindst seks måneder før dens officielle meddelelse på darknet-portalerne.

Malwareforfatterne har bekræftet, at størstedelen af Nexus-infektioner er blevet rapporteret i Tyrkiet, ifølge deres egen Telegram-kanal. Desuden har malware-truslen vist sig at overlappe med en anden banktrojaner kaldet SOVA, som faktisk genbruger dele af sin kildekode. Nexus Trojan indeholder også et ransomware-modul, der ser ud til at være aktivt udviklet.

Interessant nok har forfatterne af Nexus fastsat eksplicitte regler, der forbyder brugen af deres malware i flere lande, herunder Aserbajdsjan, Armenien, Hviderusland, Kasakhstan, Kirgisistan, Moldova, Rusland, Tadsjikistan, Usbekistan, Ukraine og Indonesien.

Ekspansiv liste over de truende egenskaber fundet i Nexus Banking Trojan

Nexus er specielt designet til at få uautoriseret adgang til brugernes bank- og kryptovalutakonti ved at anvende forskellige teknikker såsom overlejringsangreb og keylogging. Gennem disse metoder stjæler malwaren brugernes loginoplysninger og andre følsomme oplysninger.

Ud over disse taktikker har malwaren mulighed for at læse 2-faktor-godkendelseskoder (2FA), både fra SMS-beskeder og Google Authenticator-appen. Dette er gjort muligt gennem udnyttelsen af tilgængelighedstjenester i Android.

Desuden er malwaren blevet forbedret med nye funktionaliteter, såsom muligheden for at fjerne modtagne SMS-beskeder, aktivere eller deaktivere 2FA stealer-modulet og opdatere sig selv ved periodisk at kommunikere med en kommando-og-kontrol-server (C2). Disse nye funktioner gør malwaren endnu mere farlig og svær at opdage.