Nexus Android Trojan

Ένας αναδυόμενος τραπεζικός Trojan Android, γνωστός ως «Nexus» έχει ήδη προστεθεί στα κακόβουλα εργαλεία αρκετών παραγόντων απειλών. Οι κυβερνοεγκληματίες έχουν χρησιμοποιήσει την απειλή για να στοχεύσουν περίπου 450 οικονομικές εφαρμογές και να πραγματοποιήσουν δόλιες δραστηριότητες.

Σύμφωνα με την ιταλική κυβερνοασφάλεια που δημοσίευσε μια αναφορά για την απειλή, το Nexus φαίνεται να βρίσκεται στα αρχικά στάδια ανάπτυξής του. Ωστόσο, το Trojan παρέχει όλες τις απαραίτητες δυνατότητες για τη διεξαγωγή επιθέσεων εξαγοράς λογαριασμού (ATO) κατά τραπεζικών πυλών και υπηρεσιών κρυπτονομισμάτων, όπως η κλοπή διαπιστευτηρίων σύνδεσης και η υποκλοπή μηνυμάτων SMS. Οι κακόβουλες δυνατότητες του Nexus το καθιστούν ένα εξελιγμένο και επικίνδυνο τραπεζικό trojan που μπορεί να προκαλέσει σημαντική οικονομική ζημιά στα θύματά του. Το Nexus έχει σχεδιαστεί ειδικά για να υπονομεύει συσκευές Android.

Το Nexus Banking Trojan προσφέρεται ως συνδρομητικές υπηρεσίες

Το Nexus Banking Trojan ανακαλύφθηκε ότι διατίθεται προς πώληση σε διάφορα φόρουμ hacking για 3.000 $ το μήνα ως σύστημα MaaS (Κακόβουλο λογισμικό ως υπηρεσία). Ωστόσο, υπάρχουν αποδείξεις που υποδηλώνουν ότι το trojan μπορεί να έχει ήδη αναπτυχθεί σε επιθέσεις πραγματικού κόσμου ήδη από τον Ιούνιο του 2022, τουλάχιστον έξι μήνες πριν από την επίσημη ανακοίνωσή του στις πύλες του darknet.

Οι συντάκτες κακόβουλου λογισμικού επιβεβαίωσαν ότι η πλειονότητα των μολύνσεων από το Nexus έχουν αναφερθεί στην Τουρκία, σύμφωνα με το δικό τους κανάλι Telegram. Επιπλέον, η απειλή κακόβουλου λογισμικού βρέθηκε να επικαλύπτει έναν άλλο τραπεζικό Trojan που ονομάζεται SOVA, επαναχρησιμοποιώντας στην πραγματικότητα τμήματα του πηγαίο κώδικα του. Το Nexus Trojan περιέχει επίσης μια λειτουργική μονάδα ransomware που φαίνεται να έχει αναπτυχθεί ενεργά.

Είναι ενδιαφέρον ότι οι συντάκτες του Nexus έχουν θέσει ρητούς κανόνες που απαγορεύουν τη χρήση του κακόβουλου λογισμικού τους σε πολλές χώρες, όπως το Αζερμπαϊτζάν, η Αρμενία, η Λευκορωσία, το Καζακστάν, η Κιργιζία, η Μολδαβία, η Ρωσία, το Τατζικιστάν, το Ουζμπεκιστάν, η Ουκρανία και η Ινδονησία.

Εκτεταμένη λίστα με τις απειλητικές δυνατότητες που βρέθηκαν στο Nexus Banking Trojan

Το Nexus έχει σχεδιαστεί ειδικά για να αποκτά μη εξουσιοδοτημένη πρόσβαση στους τραπεζικούς λογαριασμούς και στους λογαριασμούς κρυπτονομισμάτων των χρηστών, χρησιμοποιώντας διάφορες τεχνικές, όπως επιθέσεις επικάλυψης και καταγραφή κλειδιών. Μέσω αυτών των μεθόδων, το κακόβουλο λογισμικό κλέβει τα διαπιστευτήρια σύνδεσης των χρηστών και άλλες ευαίσθητες πληροφορίες.

Εκτός από αυτές τις τακτικές, το κακόβουλο λογισμικό έχει τη δυνατότητα ανάγνωσης κωδικών ελέγχου ταυτότητας δύο παραγόντων (2FA), τόσο από μηνύματα SMS όσο και από την εφαρμογή Google Authenticator. Αυτό γίνεται δυνατό μέσω της εκμετάλλευσης των υπηρεσιών προσβασιμότητας στο Android.

Επιπλέον, το κακόβουλο λογισμικό έχει βελτιωθεί με νέες λειτουργίες, όπως η δυνατότητα αφαίρεσης ληφθέντων μηνυμάτων SMS, ενεργοποίησης ή απενεργοποίησης της μονάδας κλοπής 2FA και ενημέρωσης μέσω περιοδικής επικοινωνίας με διακομιστή εντολών και ελέγχου (C2). Αυτά τα νέα χαρακτηριστικά καθιστούν το κακόβουλο λογισμικό ακόμα πιο επικίνδυνο και δύσκολο να εντοπιστεί.