Nexus Banking Troijalainen

Nexus-pankkitroijalainen on eräänlainen mobiilihaittaohjelma, joka kohdistuu Android-käyttöjärjestelmiin. Uhka on pohjimmiltaan uudelleenbrändätty versio aiemmin tunnistetusta ja seuratusta SOVA-pankkitroijalaisesta. Sen ensisijaisena tavoitteena on varastaa pankki- ja taloustietoja uhrien tartunnan saaneilta laitteilta. Siinä on kuitenkin myös erilaisia haitallisia ominaisuuksia, jotka tekevät siitä merkittävämmän uhan.

Nexus voi suorittaa toimintoja, kuten varastaa muiden sovellusten kirjautumistietoja, tallentaa ääntä ja ottaa kuvakaappauksia. Tämän tyyppiset haittaohjelmat voivat myös suorittaa vakoiluohjelmia, kuten käyttää yhteystietoja, viestejä ja muita laitteeseen tallennettuja arkaluonteisia tietoja. Sellaisenaan se muodostaa merkittävän uhan sekä henkilökohtaiselle yksityisyydelle että kyberturvallisuudelle. Cyblen tutkijat julkaisivat tiedot Nexus Android -pankkitroijalaisesta.

Nexus Banking -troijalainen kerää arkaluonteisia tietoja tartunnan saaneilta laitteilta

Nexus-haittaohjelma hallitsee käyttäjien laitteita väärinkäyttäen Androidin esteettömyyspalveluita. Tämä laillinen ominaisuus on tarkoitettu auttamaan käyttäjiä käyttämään laitteitaan helpommin simuloimalla napsautuksia, lukemalla näkyvää tekstiä jne. Kun haittaohjelma tunkeutuu laitteeseen (yleensä naamioituna lailliseksi sovellukseksi), se pyytää käyttäjiä ottamaan käyttöön esteettömyyspalvelut, jotka voivat olla vuorovaikutuksessa koneen kanssa eri tavoin.

Saatuaan esteettömyyspalveluiden hallintaan Nexus voi laajentaa oikeuksiaan ja myöntää itselleen lisäoikeuksia, mukaan lukien kyvyn estää käyttäjiä poistamasta esteettömyyspalveluita ja poistaa käytöstä Google Play Protectin ja muut salasanasuojaustoimenpiteet.

Nexus kerää erilaisia laitetietoja, kuten puhelimen mallin, käyttöjärjestelmän version, IMEI-koodin, akun tilan, IP-osoitteen (maantieteellisen sijainnin), SIM-kortin tunnuksen, puhelinnumeron ja mobiiliverkon tiedot. Haittaohjelma kohdistuu nimenomaan yli neljäänkymmeneen suosittuun pankkisovellukseen, joka tarkistaa laitteeseen asennettujen sovellusten luettelon ja lataa kullekin pankkisovellukselle sopivan HTML-injektiokoodin. Tämä koodi luo väärennetyn peittokuvan, joka laukeaa, kun käyttäjä on vuorovaikutuksessa laillisen pankkisovelluksen kanssa, ja kehottaa käyttäjää syöttämään kirjautumistietonsa.

Kun käyttäjä antaa kirjautumistietonsa, haittaohjelma lähettää ne hyökkääjille ja antaa heille pääsyn käyttäjän pankkitilille. Koska haittaohjelma pystyy estämään käyttäjää poistamasta esteettömyyspalveluita, se voi jatkaa arkaluonteisten tietojen keräämistä ja vaarantaa käyttäjän laitteen.

Nexus Banking -troijalainen saa rikottujen laitteiden hallintaansa

Nexus-troijalainen on haittaohjelmisto, jossa on useita toimintoja, jotka auttavat sitä hallitsemaan arkaluontoista sisältöä, erityisesti pankkitilejä. Yksi sen tärkeimmistä ominaisuuksista on kyky tallentaa näppäinpainalluksia (näppäinloki), jota voidaan käyttää kirjautumistietojen ja muiden arkaluonteisten tietojen tallentamiseen.

Lisäksi Nexus voi myös hallita tekstiviestejä, puheluita ja ilmoituksia. Se voi lukea, siepata, piilottaa, poistaa ja jopa lähettää tekstiviestejä tiettyihin numeroihin tai kaikkiin yhteystietoihin. Näin se voi saada tekstiviesteillä lähetettyjä OTP:itä ja 2FA:ita/MFA:ita sekä tietoja Google Authenticatorista.

Nexus voi myös soittaa salattuja puheluita ja välittää niitä sekä muuttaa yhteystietoja. Tämä tarkoittaa, että sitä voidaan käyttää Toll Fraud -haittaohjelmiin. Se voi lähettää viestejä kaikille yhteyshenkilöille, mikä voi johtaa roskapostiviestien lisääntymiseen.

Lisäksi troijalainen voi hallita ilmoituksia lukemalla, sieppaamalla, piilottamalla ja jopa näyttämällä vääriä. Se voi myös tarkistaa käynnissä olevat prosessit, poistaa ohjelmia, avata sovelluksia, lukita/avaa laitteen, mykistää/poistaa mykistyksen, avata URL-osoitteita selaimen kautta, näyttää väärennettyjä järjestelmävaroituspeittokuvia, hankkia käyttäjätililuetteloita ja hankkia kirjautumistiedot ja saldot kryptovaluuttalompakoihin.

Nexus voi myös lukea ja poistaa tiedostoja yhdistetystä ulkoisesta tallennustilasta, joita voidaan käyttää aiheuttamaan ketjutartuntoja lisäämällä haitallista sisältöä laitteisiin. Vaikka tällä hetkellä näyttää siltä, että sitä käytetään ensisijaisesti HTML-injektiopakettien hankkimiseen pankkisovelluksia varten, sitä voidaan mahdollisesti muuttaa saastuttamaan laitteita lisähaittaohjelmilla, kuten kiristysohjelmilla.