Nexus אנדרואיד טרויאני

סוס טרויאני בנקאי מתפתח אנדרואיד המכונה 'נקסוס' כבר התווסף לכלים הזדוניים של מספר גורמי איומים. פושעי הסייבר השתמשו באיום כדי למקד כ-450 יישומים פיננסיים ולבצע פעולות הונאה.

על פי אבטחת הסייבר האיטלקית שפרסמה דוח על האיום, נראה כי Nexus בשלבי הפיתוח המוקדמים שלה. עם זאת, הטרויאני מספק את כל התכונות הדרושות לביצוע התקפות של השתלטות על חשבון (ATO) נגד פורטלים בנקאיים ושירותי מטבעות קריפטוגרפיים, כגון גניבת אישורי כניסה ויירט הודעות SMS. היכולות הזדוניות של נקסוס הופכות אותו לטרויאני בנקאי מתוחכם ומסוכן שעלול לגרום לנזק כספי משמעותי לקורבנותיו. Nexus תוכנן במיוחד כדי להתפשר על מכשירי אנדרואיד.

ה-Nexus Banking Trojan מוצע כשירותי מנוי

התגלה שה-Nexus Banking Trojan מסופק למכירה בפורומי פריצה שונים תמורת $3,000 לחודש כתוכנית MaaS (Malware-as-a-Service). עם זאת, ישנן הוכחות המצביעות על כך שייתכן שהטרויאני כבר נפרס בהתקפות בעולם האמיתי כבר ביוני 2022, לפחות שישה חודשים לפני ההכרזה הרשמית שלו בפורטלים של Darknet.

מחברי התוכנות הזדוניות אישרו שרוב ההדבקות ב-Nexus דווחו בטורקיה, לפי ערוץ הטלגרם שלהם. יתר על כן, נמצא כי האיום של תוכנות זדוניות חופף עם טרויאני בנקאי אחר בשם SOVA, למעשה עושה שימוש חוזר בחלקים מקוד המקור שלו. ה-Nexus Trojan מכיל גם מודול תוכנת כופר שנראה שפותח באופן פעיל.

מעניין לציין כי מחברי Nexus קבעו כללים מפורשים האוסרים על שימוש בתוכנות זדוניות שלהם במספר מדינות, כולל אזרבייג'ן, ארמניה, בלארוס, קזחסטן, קירגיזסטן, מולדובה, רוסיה, טג'יקיסטן, אוזבקיסטן, אוקראינה ואינדונזיה.

רשימה רחבה של היכולות המאיימות שנמצאו ב-Nexus Banking Trojan

Nexus תוכנן במיוחד כדי לקבל גישה בלתי מורשית לחשבונות הבנקאות והמטבעות הקריפטוגרפיים של המשתמשים על ידי שימוש בטכניקות שונות כגון התקפות שכבת-על ורישום מפתחות. באמצעות שיטות אלו, התוכנה הזדונית גונבת את פרטי הכניסה של המשתמשים ומידע רגיש אחר.

בנוסף לטקטיקות אלו, לתוכנה הזדונית יש את היכולת לקרוא קודי אימות דו-גורמי (2FA), הן מהודעות SMS והן מאפליקציית Google Authenticator. זה מתאפשר באמצעות ניצול שירותי נגישות באנדרואיד.

יתרה מכך, התוכנה הזדונית שופרה עם פונקציונליות חדשות, כגון היכולת להסיר הודעות SMS שהתקבלו, להפעיל או לבטל את מודול הגניבה 2FA, ולעדכן את עצמו על ידי תקשורת מעת לעת עם שרת פקודה ושליטה (C2). תכונות חדשות אלה הופכות את התוכנה הזדונית למסוכנת עוד יותר וקשה לזיהוי.