تروجان اندروید Nexus

یک تروجان بانکی اندرویدی در حال ظهور به نام «نکسوس» قبلاً به ابزارهای مخرب چندین عامل تهدید اضافه شده است. مجرمان سایبری از این تهدید برای هدف قرار دادن حدود 450 برنامه مالی و انجام فعالیت های کلاهبرداری استفاده کرده اند.

با توجه به امنیت سایبری ایتالیا که گزارشی در مورد این تهدید منتشر کرده است، به نظر می رسد که Nexus در مراحل اولیه توسعه خود است. با این حال، تروجان تمام ویژگی‌های لازم را برای انجام حملات تصاحب حساب (ATO) علیه درگاه‌های بانکی و خدمات ارزهای دیجیتال، مانند سرقت اعتبار ورود به سیستم و رهگیری پیام‌های SMS، فراهم می‌کند. قابلیت های مخرب Nexus آن را به یک تروجان بانکی پیچیده و خطرناک تبدیل می کند که می تواند خسارت مالی قابل توجهی به قربانیان خود وارد کند. Nexus به طور خاص برای به خطر انداختن دستگاه‌های Android طراحی شده است.

تروجان بانکی Nexus به عنوان یک سرویس اشتراک ارائه می شود

تروجان بانکی Nexus کشف شد که برای فروش در انجمن‌های مختلف هک با قیمت 3000 دلار در ماه به عنوان طرح MaaS (بدافزار به عنوان یک سرویس) ارائه می‌شود. با این حال، شواهدی وجود دارد که نشان می دهد تروجان ممکن است در اوایل ژوئن 2022، حداقل شش ماه قبل از اعلام رسمی آن در پورتال های دارک نت، در حملات دنیای واقعی مستقر شده باشد.

نویسندگان بدافزار تایید کرده‌اند که اکثر موارد آلوده به Nexus در ترکیه گزارش شده‌اند، طبق کانال تلگرامی خودشان. علاوه بر این، تهدید بدافزار با یک تروجان بانکی دیگر به نام SOVA همپوشانی دارد و در واقع از بخش‌هایی از کد منبع خود استفاده مجدد می‌کند. تروجان Nexus همچنین حاوی یک ماژول باج افزار است که به نظر می رسد فعالانه توسعه یافته است.

جالب اینجاست که نویسندگان Nexus قوانین صریحی را برای ممنوعیت استفاده از بدافزار خود در چندین کشور از جمله آذربایجان، ارمنستان، بلاروس، قزاقستان، قرقیزستان، مولداوی، روسیه، تاجیکستان، ازبکستان، اوکراین و اندونزی وضع کرده‌اند.

فهرست گسترده ای از قابلیت های تهدید کننده موجود در تروجان بانکی Nexus

Nexus به طور خاص برای دسترسی غیرمجاز به حساب‌های بانکی و ارزهای دیجیتال کاربران با استفاده از تکنیک‌های مختلف مانند حملات همپوشانی و keylogging طراحی شده است. از طریق این روش ها، بدافزار اعتبار ورود کاربران و سایر اطلاعات حساس را به سرقت می برد.

علاوه بر این تاکتیک‌ها، این بدافزار قابلیت خواندن کدهای احراز هویت دو مرحله‌ای (2FA) را هم از طریق پیام‌های SMS و هم از برنامه Google Authenticator دارد. این امر از طریق بهره برداری از خدمات دسترسی در اندروید امکان پذیر شده است.

علاوه بر این، بدافزار با قابلیت‌های جدیدی مانند توانایی حذف پیام‌های SMS دریافتی، فعال یا غیرفعال کردن ماژول 2FA stealer و به‌روزرسانی خود با برقراری ارتباط دوره‌ای با یک سرور فرمان و کنترل (C2) بهبود یافته است. این ویژگی های جدید بدافزار را حتی خطرناک تر و شناسایی آن را دشوار می کند.