تروجان Nexus Banking

تروجان بانکی Nexus نوعی بدافزار موبایلی است که سیستم عامل اندروید را هدف قرار می دهد. این تهدید اساسا یک نسخه تغییر نام تجاری از تروجان بانکی SOVA است که قبلا شناسایی و ردیابی شده بود. هدف اصلی آن سرقت اطلاعات بانکی و مالی از دستگاه های آلوده قربانیان آن است. با این حال، ویژگی های مخرب مختلفی نیز دارد که آن را به یک تهدید مهم تر تبدیل می کند.

Nexus می‌تواند اقداماتی مانند سرقت اطلاعات ورود به سیستم برای سایر برنامه‌ها، ضبط صدا و گرفتن اسکرین شات انجام دهد. این نوع بدافزار همچنین می‌تواند عملکردهای جاسوس‌افزار مانند دسترسی به مخاطبین، پیام‌ها و سایر اطلاعات حساس ذخیره شده در دستگاه را انجام دهد. به این ترتیب، تهدید قابل توجهی برای حریم خصوصی شخصی و امنیت سایبری است. جزئیات مربوط به تروجان بانکی Nexus Android توسط محققان Cyble برای عموم منتشر شد.

تروجان بانکی Nexus اطلاعات حساس را از دستگاه های آلوده جمع آوری می کند

بدافزار Nexus با سوء استفاده از سرویس‌های دسترس‌پذیری Android، کنترل دستگاه‌های کاربران را به دست می‌آورد. این ویژگی قانونی به‌عنوان راهی برای کمک به کاربران در کارکرد آسان‌تر دستگاه‌هایشان با شبیه‌سازی کلیک‌ها، خواندن متن نمایش داده شده، و غیره در نظر گرفته شده است. هنگامی که بدافزار به دستگاهی نفوذ می‌کند (معمولاً به عنوان یک برنامه قانونی مبدل می‌شود)، از کاربران درخواست می‌کند تا خدمات دسترسی را فعال کنند. که می تواند به روش های مختلف با ماشین تعامل داشته باشد.

پس از به دست آوردن کنترل بر سرویس‌های دسترس‌پذیری، Nexus می‌تواند امتیازات خود را افزایش دهد و به خود مجوزهای اضافی اعطا کند، از جمله توانایی جلوگیری از غیرفعال کردن سرویس‌های دسترس‌پذیری توسط کاربران و غیرفعال کردن Google Play Protect و سایر اقدامات امنیتی رمز عبور.

Nexus اطلاعات مختلف دستگاه را جمع آوری می کند، از جمله مدل تلفن، نسخه سیستم عامل، IMEI، وضعیت باتری، آدرس IP (موقعیت جغرافیایی)، شناسه سیم کارت، شماره تلفن، و داده های شبکه تلفن همراه. این بدافزار به طور خاص بیش از چهل برنامه محبوب بانکی را هدف قرار می دهد، لیست برنامه های نصب شده روی دستگاه را بررسی می کند و کد تزریق HTML مناسب برای هر برنامه بانکی را دانلود می کند. این کد یک پوشش جعلی ایجاد می کند که هنگام تعامل کاربر با برنامه بانکی قانونی فعال می شود و از کاربر می خواهد تا اعتبار ورود خود را وارد کند.

هنگامی که کاربر اطلاعات ورود خود را وارد می کند، بدافزار آنها را برای مهاجمان ارسال می کند و به آنها امکان دسترسی به حساب بانکی کاربر را می دهد. از آنجایی که بدافزار می‌تواند از غیرفعال کردن سرویس‌های دسترسی توسط کاربر جلوگیری کند، می‌تواند به جمع‌آوری اطلاعات حساس و به خطر انداختن دستگاه کاربر ادامه دهد.

تروجان بانکی Nexus کنترل دستگاه های خراب شده را به دست می آورد

تروجان Nexus یک نرم افزار مخرب است که دارای عملکردهای مختلفی است که به آن کمک می کند تا بر محتوای حساس به ویژه حساب های بانکی کنترل داشته باشد. یکی از توانایی‌های کلیدی آن، قابلیت ضبط ضربه‌های کلید (keylogging) است که می‌توان از آن برای گرفتن اعتبار ورود و سایر اطلاعات حساس استفاده کرد.

علاوه بر این، Nexus همچنین می‌تواند پیام‌های SMS، تماس‌ها و اعلان‌ها را مدیریت کند. می تواند بخواند، رهگیری کند، مخفی کند، حذف کند و حتی به شماره های خاص یا همه مخاطبین پیامک ارسال کند. این به آن امکان می دهد OTP و 2FA/MFA ارسال شده از طریق پیام های متنی و همچنین اطلاعاتی از Google Authenticator را دریافت کند.

Nexus همچنین می‌تواند تماس‌های تلفنی مخفیانه برقرار کند و آنها را فوروارد کند و همچنین اطلاعات تماس را تغییر دهد. این بدان معنی است که می توان از آن برای بدافزار Toll Fraud استفاده کرد. این می تواند به همه مخاطبین پیام بفرستد، که می تواند منجر به گسترش پیام های اس ام اس اسپم شود.

علاوه بر این، تروجان می‌تواند اعلان‌ها را با خواندن، رهگیری، مخفی کردن و حتی نشان دادن اعلان‌های جعلی مدیریت کند. همچنین می‌تواند فرآیندهای در حال اجرا را بررسی کند، برنامه‌ها را حذف کند، برنامه‌ها را باز کند، دستگاه را قفل/باز کند، صدا را بی‌صدا/لغو بی‌صدا کند، URL‌ها را از طریق مرورگرها باز کند، پوشش‌های هشدار سیستم جعلی را نشان دهد، فهرست حساب‌های کاربری را دریافت کند، و اعتبار ورود و موجودی کیف پول‌های ارزهای دیجیتال را دریافت کند.

Nexus همچنین می‌تواند فایل‌ها را از حافظه خارجی متصل بخواند و حذف کند، که می‌تواند برای ایجاد عفونت زنجیره‌ای با تزریق محتوای مخرب اضافی به دستگاه‌ها استفاده شود. اگرچه در حال حاضر، به نظر می‌رسد که عمدتاً برای دریافت بسته‌های تزریق HTML برای برنامه‌های بانکی استفاده می‌شود، اما به طور بالقوه می‌تواند برای آلوده کردن دستگاه‌ها با بدافزارهای اضافی، مانند باج‌افزار، تغییر یابد.