Nexus Android Troijalainen

Nouseva Android-pankkitroijalainen, joka tunnetaan nimellä "Nexus", on jo lisätty useiden uhkatoimijoiden haitallisiin työkaluihin. Kyberrikolliset ovat käyttäneet uhkaa kohdistaakseen noin 450 taloushakemusta ja toteuttaneet vilpillisiä toimia.

Uhista raportin julkaissut Italian kyberturvallisuusviranomaiset kertovat, että Nexus näyttää olevan kehitysvaiheessa. Troijalainen tarjoaa kuitenkin kaikki tarvittavat ominaisuudet tilin haltuunottohyökkäysten (ATO) tekemiseen pankkiportaaleja ja kryptovaluuttapalveluita vastaan, kuten kirjautumistietojen varastamiseen ja tekstiviestien sieppaamiseen. Nexuksen haitalliset ominaisuudet tekevät siitä kehittyneen ja vaarallisen pankkitroijalaisen, joka voi aiheuttaa merkittäviä taloudellisia vahinkoja uhreilleen. Nexus on suunniteltu erityisesti vaarantamaan Android-laitteita.

Nexus Banking Troijalainen tarjotaan tilauspalveluina

Nexus Banking -troijalainen havaittiin olevan myynnissä useilla hakkerointifoorumeilla 3 000 dollarilla kuukaudessa MaaS-järjestelmänä (Malware-as-a-Service). On kuitenkin todisteita, jotka viittaavat siihen, että troijalainen on saatettu jo käyttää tosielämän hyökkäyksissä jo kesäkuussa 2022, vähintään kuusi kuukautta ennen sen virallista ilmoitusta darknet-portaaleissa.

Haittaohjelmien tekijät ovat vahvistaneet, että suurin osa Nexus-tartunnoista on raportoitu Turkissa heidän oman Telegram-kanavansa mukaan. Lisäksi haittaohjelmauhan on havaittu menevän päällekkäin toisen pankkitroijalaisen SOVA:n kanssa, joka itse asiassa käyttää uudelleen osia lähdekoodistaan. Nexus Troijalainen sisältää myös kiristysohjelmamoduulin, jota näyttää olevan aktiivisesti kehitetty.

Mielenkiintoista on, että Nexuksen kirjoittajat ovat asettaneet selkeät säännöt, jotka kieltävät haittaohjelmiensa käytön useissa maissa, mukaan lukien Azerbaidžan, Armenia, Valko-Venäjä, Kazakstan, Kirgisia, Moldova, Venäjä, Tadžikistan, Uzbekistan, Ukraina ja Indonesia.

Laaja luettelo Nexus Banking Troijan uhkaavista ominaisuuksista

Nexus on erityisesti suunniteltu saamaan luvaton pääsy käyttäjien pankki- ja kryptovaluuttatileille käyttämällä erilaisia tekniikoita, kuten peittohyökkäyksiä ja näppäinlokitusta. Näillä menetelmillä haittaohjelma varastaa käyttäjien kirjautumistiedot ja muita arkaluonteisia tietoja.

Näiden taktiikkojen lisäksi haittaohjelma pystyy lukemaan kaksivaiheisia todennuskoodeja (2FA) sekä tekstiviesteistä että Google Authenticator -sovelluksesta. Tämä on mahdollista Androidin esteettömyyspalveluiden hyödyntämisen ansiosta.

Lisäksi haittaohjelmaa on paranneltu uusilla toiminnoilla, kuten kyky poistaa vastaanotetut tekstiviestit, aktivoida tai deaktivoida 2FA-varastomoduuli sekä päivittää itsensä kommunikoimalla ajoittain komento- ja ohjauspalvelimen (C2) kanssa. Nämä uudet ominaisuudet tekevät haittaohjelmista entistä vaarallisemman ja vaikeammin havaittavan.