Nexuse Androidi troojalane

Tekkiv Androidi pangandustroojalane, mida tuntakse Nexuse nime all, on juba lisatud mitme ohus osaleja pahatahtlike tööriistade hulka. Küberkurjategijad on ähvardust kasutanud ligikaudu 450 finantsrakenduse sihikule ja pettuste läbiviimiseks.

Ohu kohta aruande avaldanud Itaalia küberjulgeolekuameti sõnul näib Nexus olevat oma varajases arengujärgus. Troojalane pakub aga kõiki vajalikke funktsioone konto ülevõtmise (ATO) rünnakute läbiviimiseks pangaportaalide ja krüptovaluutateenuste vastu, näiteks sisselogimismandaatide varastamine ja SMS-sõnumite pealtkuulamine. Nexuse pahatahtlikud võimalused muudavad selle keerukaks ja ohtlikuks pangandustroojaks, mis võib oma ohvritele põhjustada märkimisväärset rahalist kahju. Nexus on loodud spetsiaalselt Android-seadmete ohustamiseks.

Nexuse pangandustroojat pakutakse tellimusteenustena

Avastati, et Nexuse panganduse troojalane on müügil erinevates häkkimisfoorumites 3000 dollari eest kuus MaaS-i (Pahavara teenusena) skeemina. Siiski on tõendeid, mis viitavad sellele, et trooja võis olla juba 2022. aasta juunis reaalsetes rünnakutes kasutusele võetud, vähemalt kuus kuud enne selle ametlikku teatamist darkneti portaalides.

Pahavara autorid on kinnitanud, et nende enda Telegrami kanali andmetel on Türgis teatatud enamikust Nexuse nakkustest. Lisaks on leitud, et pahavaraoht kattub teise pangatrooja nimega SOVA, mis kasutab tegelikult osi oma lähtekoodist. Nexuse troojalane sisaldab ka lunavaramoodulit, mida näib olevat aktiivselt arendatud.

Huvitaval kombel on Nexuse autorid kehtestanud selgesõnalised reeglid, mis keelavad nende pahavara kasutamise mitmes riigis, sealhulgas Aserbaidžaanis, Armeenias, Valgevenes, Kasahstanis, Kõrgõzstanis, Moldovas, Venemaal, Tadžikistanis, Usbekistanis, Ukrainas ja Indoneesias.

Laialdane nimekiri Nexus Banking Troojast leitud ähvardavatest võimalustest

Nexus on spetsiaalselt loodud selleks, et saada volitamata juurdepääs kasutajate panga- ja krüptovaluutakontodele, kasutades erinevaid tehnikaid, nagu ülekatterünnakud ja klahvilogimine. Nende meetodite abil varastab pahavara kasutajate sisselogimismandaadid ja muud tundlikku teavet.

Lisaks nendele taktikatele on pahavaral võimalus lugeda kahefaktorilise autentimise (2FA) koode nii SMS-sõnumitest kui ka Google Authenticatori rakendusest. See on võimalik tänu juurdepääsetavuse teenuste ärakasutamisele Androidis.

Veelgi enam, pahavara on täiustatud uute funktsioonidega, näiteks võimalus eemaldada vastuvõetud SMS-sõnumeid, aktiveerida või deaktiveerida 2FA stealer moodulit ning värskendada end perioodiliselt käsu-ja-juhtimisserveriga (C2) suheldes. Need uued funktsioonid muudavad pahavara veelgi ohtlikumaks ja raskemini tuvastatavaks.