تروجان اندروید Nexus
یک تروجان بانکی اندرویدی در حال ظهور به نام «نکسوس» قبلاً به ابزارهای مخرب چندین عامل تهدید اضافه شده است. مجرمان سایبری از این تهدید برای هدف قرار دادن حدود 450 برنامه مالی و انجام فعالیت های کلاهبرداری استفاده کرده اند.
با توجه به امنیت سایبری ایتالیا که گزارشی در مورد این تهدید منتشر کرده است، به نظر می رسد که Nexus در مراحل اولیه توسعه خود است. با این حال، تروجان تمام ویژگیهای لازم را برای انجام حملات تصاحب حساب (ATO) علیه درگاههای بانکی و خدمات ارزهای دیجیتال، مانند سرقت اعتبار ورود به سیستم و رهگیری پیامهای SMS، فراهم میکند. قابلیت های مخرب Nexus آن را به یک تروجان بانکی پیچیده و خطرناک تبدیل می کند که می تواند خسارت مالی قابل توجهی به قربانیان خود وارد کند. Nexus به طور خاص برای به خطر انداختن دستگاههای Android طراحی شده است.
تروجان بانکی Nexus به عنوان یک سرویس اشتراک ارائه می شود
تروجان بانکی Nexus کشف شد که برای فروش در انجمنهای مختلف هک با قیمت 3000 دلار در ماه به عنوان طرح MaaS (بدافزار به عنوان یک سرویس) ارائه میشود. با این حال، شواهدی وجود دارد که نشان می دهد تروجان ممکن است در اوایل ژوئن 2022، حداقل شش ماه قبل از اعلام رسمی آن در پورتال های دارک نت، در حملات دنیای واقعی مستقر شده باشد.
نویسندگان بدافزار تایید کردهاند که اکثر موارد آلوده به Nexus در ترکیه گزارش شدهاند، طبق کانال تلگرامی خودشان. علاوه بر این، تهدید بدافزار با یک تروجان بانکی دیگر به نام SOVA همپوشانی دارد و در واقع از بخشهایی از کد منبع خود استفاده مجدد میکند. تروجان Nexus همچنین حاوی یک ماژول باج افزار است که به نظر می رسد فعالانه توسعه یافته است.
جالب اینجاست که نویسندگان Nexus قوانین صریحی را برای ممنوعیت استفاده از بدافزار خود در چندین کشور از جمله آذربایجان، ارمنستان، بلاروس، قزاقستان، قرقیزستان، مولداوی، روسیه، تاجیکستان، ازبکستان، اوکراین و اندونزی وضع کردهاند.
فهرست گسترده ای از قابلیت های تهدید کننده موجود در تروجان بانکی Nexus
Nexus به طور خاص برای دسترسی غیرمجاز به حسابهای بانکی و ارزهای دیجیتال کاربران با استفاده از تکنیکهای مختلف مانند حملات همپوشانی و keylogging طراحی شده است. از طریق این روش ها، بدافزار اعتبار ورود کاربران و سایر اطلاعات حساس را به سرقت می برد.
علاوه بر این تاکتیکها، این بدافزار قابلیت خواندن کدهای احراز هویت دو مرحلهای (2FA) را هم از طریق پیامهای SMS و هم از برنامه Google Authenticator دارد. این امر از طریق بهره برداری از خدمات دسترسی در اندروید امکان پذیر شده است.
علاوه بر این، بدافزار با قابلیتهای جدیدی مانند توانایی حذف پیامهای SMS دریافتی، فعال یا غیرفعال کردن ماژول 2FA stealer و بهروزرسانی خود با برقراری ارتباط دورهای با یک سرور فرمان و کنترل (C2) بهبود یافته است. این ویژگی های جدید بدافزار را حتی خطرناک تر و شناسایی آن را دشوار می کند.