Nexus Android Trojan

Android bankarski trojanac u nastajanju poznat kao 'Nexus' već je dodan u zlonamjerne alate nekoliko aktera prijetnji. Cyberkriminalci su iskoristili prijetnju za ciljanje približno 450 financijskih aplikacija i izvođenje lažnih aktivnosti.

Prema talijanskoj kibersigurnosti koja je objavila izvješće o prijetnji, čini se da je Nexus u ranoj fazi razvoja. Međutim, trojanac pruža sve potrebne značajke za provođenje napada preuzimanjem računa (ATO) protiv bankovnih portala i usluga kriptovaluta, poput krađe vjerodajnica za prijavu i presretanja SMS poruka. Zlonamjerne mogućnosti Nexusa čine ga sofisticiranim i opasnim bankarskim trojancem koji može nanijeti značajnu financijsku štetu svojim žrtvama. Nexus je dizajniran posebno za ugrožavanje Android uređaja.

Trojanac Nexus Banking nudi se kao usluge pretplate

Otkriveno je da se trojanac Nexus Banking prodaje na raznim hakerskim forumima za 3000 USD mjesečno kao MaaS (Malware-as-a-Service) shema. Međutim, postoje dokazi koji sugeriraju da je trojanac možda već bio raspoređen u napadima u stvarnom svijetu već u lipnju 2022., najmanje šest mjeseci prije službene objave na portalima darkneta.

Autori zlonamjernog softvera potvrdili su da je većina infekcija Nexusom prijavljena u Turskoj, prema njihovom Telegram kanalu. Nadalje, utvrđeno je da se prijetnja od zlonamjernog softvera preklapa s drugim bankarskim trojancem pod nazivom SOVA, koji zapravo ponovno koristi dijelove svog izvornog koda. Trojanac Nexus također sadrži ransomware modul za koji se čini da se aktivno razvija.

Zanimljivo je da su autori Nexusa postavili eksplicitna pravila koja zabranjuju korištenje njihovog malwarea u nekoliko zemalja, uključujući Azerbajdžan, Armeniju, Bjelorusiju, Kazahstan, Kirgistan, Moldaviju, Rusiju, Tadžikistan, Uzbekistan, Ukrajinu i Indoneziju.

Ekspanzivan popis prijetećih mogućnosti pronađenih u bankarskom trojancu Nexus

Nexus je posebno dizajniran za dobivanje neovlaštenog pristupa bankovnim računima i računima kriptovaluta korisnika korištenjem različitih tehnika kao što su napadi preklapanjem i keylogging. Ovim metodama zlonamjerni softver krade korisničke vjerodajnice za prijavu i druge osjetljive informacije.

Uz ove taktike, zlonamjerni softver ima mogućnost čitanja kodova za dvostruku provjeru autentičnosti (2FA), kako iz SMS poruka tako i iz aplikacije Google Authenticator. To je omogućeno iskorištavanjem usluga pristupačnosti u Androidu.

Štoviše, zlonamjerni je softver poboljšan novim funkcijama, poput mogućnosti uklanjanja primljenih SMS poruka, aktiviranja ili deaktiviranja 2FA stealer modula i ažuriranja povremenom komunikacijom s poslužiteljem za naredbu i kontrolu (C2). Ove nove značajke čine zlonamjerni softver još opasnijim i težim za otkrivanje.