טרויאני Nexus Banking

הטרויאני הבנקאי של Nexus הוא סוג של תוכנות זדוניות לנייד המתמקדות במערכות הפעלה של אנדרואיד. האיום הוא בעצם גרסה מחודשת של הטרויאני הבנקאי SOVA שזוהה בעבר ומעקב אחריהם. המטרה העיקרית שלו היא לגנוב מידע בנקאי ופיננסי מהמכשירים הנגועים של הקורבנות שלו. עם זאת, יש לו גם תכונות זדוניות שונות שהופכות אותו לאיום משמעותי יותר.

Nexus יכול לבצע פעולות כגון גניבת אישורי כניסה עבור יישומים אחרים, הקלטת אודיו וצילום מסך. סוג זה של תוכנות זדוניות יכול גם לבצע פונקציות של תוכנות ריגול כגון גישה לאנשי קשר, הודעות ומידע רגיש אחר המאוחסן במכשיר. ככזה, הוא מהווה איום משמעותי הן על הפרטיות האישית והן על אבטחת הסייבר. פרטים על הטרויאני הבנקאי Nexus Android פורסמו לציבור על ידי החוקרים ב- Cyble.

Nexus Banking טרויאני אוספת מידע רגיש ממכשירים נגועים

התוכנה הזדונית של Nexus משיגה שליטה על מכשירי המשתמשים על ידי שימוש לרעה בשירותי הנגישות של אנדרואיד. תכונה לגיטימית זו נועדה כדרך לסייע למשתמשים לתפעל ביתר קלות את המכשירים שלהם על ידי הדמיית קליקים, קריאת טקסט מוצג וכו'. ברגע שהתוכנה הזדונית חודרת למכשיר (בדרך כלל מחופשת לאפליקציה לגיטימית), היא מבקשת מהמשתמשים להפעיל את שירותי הנגישות, שיכול לקיים אינטראקציה עם המכונה בדרכים שונות.

לאחר השגת שליטה על שירותי הנגישות, Nexus יכולה להסלים את ההרשאות שלה ולהעניק לעצמה הרשאות נוספות, כולל היכולת למנוע ממשתמשים להשבית את שירותי הנגישות ולבטל את ההפעלה של Google Play Protect ואמצעי אבטחת סיסמאות אחרים.

Nexus אוספת מידע על מכשירים שונים, כולל דגם הטלפון, גרסת מערכת ההפעלה, IMEI, מצב הסוללה, כתובת IP (מיקום גיאוגרפי), מזהה כרטיס SIM, מספר טלפון ונתוני רשת סלולרית. התוכנה הזדונית מכוונת במיוחד ליותר מארבעים אפליקציות בנקאות פופולריות, בודקת את רשימת האפליקציות המותקנות במכשיר והורדת קוד הזרקת HTML המתאים לכל אפליקציית בנקאות. קוד זה יוצר שכבת-על מזויפת, המופעלת כאשר המשתמש מקיים אינטראקציה עם אפליקציית הבנקאות הלגיטימית, ומנחה את המשתמש להזין את אישורי הכניסה שלו.

ברגע שהמשתמש מזין את אישורי הכניסה שלו, התוכנה הזדונית שולחת אותם לתוקפים, ומעניקה להם גישה לחשבון הבנק של המשתמש. מכיוון שהתוכנה הזדונית מסוגלת למנוע מהמשתמש להשבית את שירותי הנגישות, היא יכולה להמשיך לאסוף מידע רגיש ולסכן את המכשיר של המשתמש.

Nexus Banking Trojan משיג שליטה במכשירים שנפרצו

הטרויאני Nexus הוא תוכנה זדונית בעלת פונקציות שונות המסייעות לה להשיג שליטה על תוכן רגיש, במיוחד חשבונות בנק. אחת מיכולות המפתח שלו היא היכולת להקליט הקשות (קשיות) אשר ניתן להשתמש בהן כדי ללכוד אישורי כניסה ומידע רגיש אחר.

בנוסף, Nexus יכול גם לנהל הודעות SMS, שיחות והתראות. זה יכול לקרוא, ליירט, להסתיר, למחוק ואפילו לשלוח הודעות טקסט למספרים ספציפיים או לכל אנשי הקשר. זה מאפשר לו להשיג OTPs ו-2FAs/MFAs שנשלחו באמצעות הודעות טקסט, כמו גם מידע מ-Google Authenticator.

Nexus יכול גם לבצע שיחות טלפון בגניבה ולהעביר אותן, כמו גם לשנות את פרטי הקשר. המשמעות היא שניתן להשתמש בו עבור תוכנות זדוניות של Toll Fraud. זה יכול לשלוח הודעות לכל אנשי הקשר, מה שעלול לגרום להתרבות של הודעות SMS דואר זבל.

יתר על כן, הטרויאני יכול לנהל הודעות על ידי קריאה, יירוט, הסתרה ואפילו הצגת הודעות מזויפות. זה יכול גם לבדוק תהליכים פועלים, למחוק תוכניות, לפתוח אפליקציות, לנעול/לבטל את נעילת המכשיר, להשתיק/לבטל השתקה של צליל, לפתוח כתובות אתרים דרך דפדפנים, להציג שכבות על התראות מערכת מזויפות, לרכוש רשימות חשבונות משתמש ולקבל אישורי כניסה ויתרות עבור ארנקי מטבעות קריפטוגרפיים.

Nexus יכול גם לקרוא ולמחוק קבצים מאחסון חיצוני מחובר, שיכול לשמש כדי לגרום לזיהומים בשרשרת על ידי הזרקת תוכן זדוני נוסף למכשירים. למרות שכרגע, נראה שהוא משמש בעיקר כדי להשיג חבילות הזרקת HTML עבור אפליקציות בנקאיות, הוא עשוי להשתנות כדי להדביק מכשירים בתוכנות זדוניות נוספות, כגון תוכנות כופר.