Nexus Banking Trojan

Nexus banktrojan er en type mobil malware, der er rettet mod Android-operativsystemer. Truslen er i det væsentlige en omdøbt version af den tidligere identificerede og sporede SOVA-banktrojaner. Dets primære mål er at stjæle bank- og finansoplysninger fra ofrenes inficerede enheder. Det har dog også forskellige ondsindede funktioner, der gør det til en mere væsentlig trussel.

Nexus kan udføre handlinger såsom at stjæle loginoplysninger til andre applikationer, optage lyd og tage skærmbilleder. Denne type malware kan også udføre spywarefunktioner, såsom adgang til kontakter, beskeder og andre følsomme oplysninger, der er gemt på enheden. Som sådan udgør det en betydelig trussel mod både privatlivets fred og cybersikkerhed. Oplysninger om Nexus Android-banktrojaner blev frigivet til offentligheden af forskerne på Cyble.

Nexus Banking Trojan høster følsomme oplysninger fra inficerede enheder

Nexus malware får kontrol over brugernes enheder ved at misbruge Android Accessibility Services. Denne legitime funktion er tænkt som en måde at hjælpe brugere med lettere at betjene deres enheder ved at simulere klik, læse vist tekst osv. Når malwaren infiltrerer en enhed (normalt forklædt som en legitim app), anmoder den brugerne om at aktivere Accessibility Services, som kan interagere med maskinen på forskellige måder.

Efter at have fået kontrol over tilgængelighedstjenesterne kan Nexus eskalere sine privilegier og give sig selv yderligere tilladelser, herunder muligheden for at forhindre brugere i at deaktivere tilgængelighedstjenesterne og deaktivere Google Play Protect og andre adgangskodesikkerhedsforanstaltninger.

Nexus indsamler forskellige enhedsoplysninger, herunder telefonmodel, OS-version, IMEI, batteristatus, IP-adresse (geoplacering), SIM-kort-id, telefonnummer og mobilnetværksdata. Malwaren retter sig specifikt mod over fyrre populære bankapplikationer, tjekker listen over applikationer installeret på enheden og downloader den passende HTML-indsprøjtningskode for hver bankapp. Denne kode skaber en falsk overlejring, som udløses, når brugeren interagerer med den legitime bankapp, og beder brugeren om at indtaste deres loginoplysninger.

Når brugeren har indtastet deres loginoplysninger, sender malwaren dem til angriberne og giver dem adgang til brugerens bankkonto. Da malwaren er i stand til at forhindre brugeren i at deaktivere tilgængelighedstjenesterne, kan den fortsætte med at indsamle følsomme oplysninger og kompromittere brugerens enhed.

Nexus Banking Trojan får kontrol over de ødelagte enheder

Nexus-trojaneren er en ondsindet software, der har forskellige funktioner, der hjælper den med at få kontrol over følsomt indhold, især bankkonti. En af dens nøgleegenskaber er evnen til at registrere tastetryk (keylogging), som kan bruges til at fange login-legitimationsoplysninger og andre følsomme oplysninger.

Derudover kan Nexus også administrere SMS-beskeder, opkald og notifikationer. Den kan læse, opsnappe, skjule, slette og endda sende tekstbeskeder til bestemte numre eller alle kontakter. Dette giver den mulighed for at hente OTP'er og 2FA'er/MFA'er sendt via tekstbeskeder samt information fra Google Authenticator.

Nexus kan også foretage skjulte telefonopkald og viderestille dem, samt ændre kontaktoplysninger. Det betyder, at det kan bruges til Toll Fraud malware. Det kan sende beskeder til alle kontakter, hvilket kan resultere i spredning af spam-SMS-beskeder.

Desuden kan trojaneren administrere meddelelser ved at læse, opsnappe, skjule og endda vise falske. Det kan også tjekke kørende processer, slette programmer, åbne apps, låse/låse enheden op, slå lyden fra/til, åbne URL'er via browsere, vise falske systemadvarslingsoverlejringer, erhverve brugerkontolister og få login-legitimationsoplysninger og saldi til cryptocurrency-punge.

Nexus kan også læse og slette filer fra tilsluttet eksternt lager, som kan bruges til at forårsage kædeinfektioner ved at injicere yderligere skadeligt indhold i enheder. Selvom det i øjeblikket ser ud til at blive brugt primært til at få HTML-indsprøjtningspakker til bankapps, kan det potentielt blive ændret til at inficere enheder med yderligere malware, såsom ransomware.