Nexus Banking Trojan

Nexuse pangandustrooja on teatud tüüpi mobiili pahavara, mis sihib Androidi operatsioonisüsteeme. Oht on sisuliselt varem tuvastatud ja jälgitud SOVA panganduse troojalase ümbernimetatud versioon. Selle peamine eesmärk on varastada pangandus- ja finantsteavet ohvrite nakatunud seadmetest. Siiski on sellel ka mitmesuguseid pahatahtlikke funktsioone, mis muudavad selle olulisemaks ohuks.

Nexus saab teha selliseid toiminguid nagu teiste rakenduste sisselogimismandaatide varastamine, heli salvestamine ja ekraanipiltide tegemine. Seda tüüpi pahavara võib täita ka nuhkvarafunktsioone, nagu juurdepääs kontaktidele, sõnumitele ja muule seadmesse salvestatud tundlikule teabele. Sellisena kujutab see olulist ohtu nii isiklikule privaatsusele kui ka küberjulgeolekule. Nexuse Androidi panganduse troojalase üksikasjad avaldasid avalikkusele Cyble'i teadlased.

Nexus Banking Trooja kogub nakatunud seadmetest tundlikku teavet

Nexuse pahavara saab Androidi juurdepääsetavuse teenuseid kuritarvitades kontrolli kasutajate seadmete üle. See seaduslik funktsioon on mõeldud selleks, et aidata kasutajatel hõlpsamini oma seadmeid kasutada, simuleerides klikke, lugedes kuvatud teksti jne. Kui pahavara tungib seadmesse (tavaliselt maskeeritakse seadusliku rakendusena), palub see kasutajatel lubada juurdepääsetavuse teenused, mis võivad masinaga mitmel viisil suhelda.

Pärast juurdepääsuteenuste üle kontrolli saavutamist saab Nexus oma privileege suurendada ja anda endale täiendavaid õigusi, sealhulgas võimaluse takistada kasutajatel juurdepääsetavuse teenuste keelamist ning desaktiveerida Google Play Protecti ja muid paroolide turvameetmeid.

Nexus kogub erinevat teavet seadme kohta, sealhulgas telefoni mudeli, OS-i versiooni, IMEI, aku oleku, IP-aadressi (geograafilise asukoha), SIM-kaardi ID, telefoninumbri ja mobiilsidevõrgu andmed. Pahavara sihib konkreetselt üle neljakümne populaarse pangarakenduse, kontrollides seadmesse installitud rakenduste loendit ja laadides alla iga pangarakenduse jaoks sobiva HTML-i süstimiskoodi. See kood loob võltskatte, mis käivitub, kui kasutaja suhtleb seadusliku pangarakendusega, ja palub kasutajal sisestada oma sisselogimismandaadid.

Kui kasutaja sisestab oma sisselogimismandaadid, saadab pahavara need ründajatele, andes neile juurdepääsu kasutaja pangakontole. Kuna pahavara suudab takistada kasutajal juurdepääsetavuse teenuste keelamist, võib see jätkata tundliku teabe kogumist ja kasutaja seadet ohustada.

Nexus Banking Trooja saab rikutud seadmete üle kontrolli

Trooja Nexus on ründetarkvara, millel on erinevad funktsioonid, mis aitavad tal saada kontrolli tundliku sisu, eriti pangakontode üle. Üks selle peamisi omadusi on klahvivajutuste salvestamise võimalus (klahvilogimine), mida saab kasutada sisselogimismandaatide ja muu tundliku teabe jäädvustamiseks.

Lisaks saab Nexus hallata ka SMS-sõnumeid, kõnesid ja märguandeid. See võib lugeda, pealt kuulata, peita, kustutada ja isegi saata tekstisõnumeid kindlatele numbritele või kõigile kontaktidele. See võimaldab hankida tekstisõnumitega saadetud ühekordseid ja 2FA-sid/MFA-sid ning teavet Google Authenticatorist.

Nexus saab teha ka vargsi telefonikõnesid ja neid edasi suunata ning kontaktteavet muuta. See tähendab, et seda saab kasutada Toll Fraud pahavara jaoks. See võib saata sõnumeid kõigile kontaktidele, mis võib põhjustada rämpsposti SMS-ide levikut.

Lisaks saab troojalane hallata teatisi, lugedes, pealtkuulades, peites ja isegi võltsitud teatisi kuvades. Samuti saab see kontrollida töötavaid protsesse, kustutada programme, avada rakendusi, lukustada/avada seade, vaigistada/tühistada heli, avada brauserite kaudu URL-e, kuvada võltsitud süsteemi märguannete ülekatteid, hankida kasutajakontode loendeid ning hankida krüptoraha rahakottide sisselogimismandaate ja saldosid.

Nexus saab lugeda ja kustutada ka ühendatud välismälu faile, mida võidakse kasutada ahelnakkuste tekitamiseks, süstides seadmetesse täiendavat pahatahtlikku sisu. Kuigi praegu näib, et seda kasutatakse peamiselt pangarakenduste HTML-i süstimispakettide hankimiseks, võidakse seda muuta, et nakatada seadmeid täiendava pahavaraga, näiteks lunavaraga.