Nexus bankarski trojanac

Bankarski trojanac Nexus vrsta je mobilnog zlonamjernog softvera koji cilja na operativne sustave Android. Prijetnja je u biti rebrandirana verzija prethodno identificiranog i praćenog bankarskog trojanca SOVA. Njegov primarni cilj je ukrasti bankovne i financijske podatke sa zaraženih uređaja svojih žrtava. Međutim, također ima razne zlonamjerne značajke koje ga čine značajnijom prijetnjom.

Nexus može izvoditi radnje kao što je krađa vjerodajnica za prijavu za druge aplikacije, snimanje zvuka i snimanje zaslona. Ova vrsta zlonamjernog softvera također može obavljati funkcije špijunskog softvera kao što je pristup kontaktima, porukama i drugim osjetljivim informacijama pohranjenim na uređaju. Kao takav, predstavlja značajnu prijetnju i osobnoj privatnosti i kibernetičkoj sigurnosti. Detalje o bankarskom trojancu Nexus Android u javnost su objavili istraživači Cyblea.

Nexus bankarski trojanac skuplja osjetljive podatke sa zaraženih uređaja

Zlonamjerni softver Nexus preuzima kontrolu nad uređajima korisnika zlouporabom usluga pristupačnosti Androida. Ova legitimna značajka namijenjena je kao način da se korisnicima pomogne u lakšem upravljanju njihovim uređajima simuliranjem klikova, čitanjem prikazanog teksta itd. Nakon što se zlonamjerni softver infiltrira u uređaj (obično prerušen u legitimnu aplikaciju), od korisnika traži da omoguće usluge pristupačnosti, koji mogu komunicirati sa strojem na različite načine.

Nakon preuzimanja kontrole nad uslugama pristupačnosti, Nexus može eskalirati svoje privilegije i dodijeliti si dodatna dopuštenja, uključujući mogućnost da spriječi korisnike da onemoguće usluge pristupačnosti i deaktiviraju Google Play Protect i druge sigurnosne mjere lozinke.

Nexus prikuplja razne podatke o uređaju, uključujući model telefona, verziju OS-a, IMEI, status baterije, IP adresu (geolokaciju), ID SIM kartice, telefonski broj i podatke mobilne mreže. Zlonamjerni softver posebno cilja na više od četrdeset popularnih bankarskih aplikacija, provjerava popis aplikacija instaliranih na uređaju i preuzima odgovarajući HTML kod za ubrizgavanje za svaku bankovnu aplikaciju. Ovaj kod stvara lažni sloj koji se pokreće kada korisnik stupi u interakciju s legitimnom bankovnom aplikacijom i od korisnika traži da unese svoje vjerodajnice za prijavu.

Nakon što korisnik unese svoje vjerodajnice za prijavu, malware ih šalje napadačima, dajući im pristup bankovnom računu korisnika. Budući da zlonamjerni softver može spriječiti korisnika da onemogući usluge pristupačnosti, može nastaviti prikupljati osjetljive podatke i kompromitirati korisnički uređaj.

Nexus bankarski trojanac preuzima kontrolu nad oštećenim uređajima

Trojanac Nexus zlonamjerni je softver koji ima različite funkcije koje mu pomažu u stjecanju kontrole nad osjetljivim sadržajem, posebice nad bankovnim računima. Jedna od njegovih ključnih sposobnosti je mogućnost snimanja pritisaka tipki (keylogging) koja se može koristiti za snimanje vjerodajnica za prijavu i drugih osjetljivih informacija.

Osim toga, Nexus također može upravljati SMS porukama, pozivima i obavijestima. Može čitati, presresti, sakriti, izbrisati, pa čak i slati tekstualne poruke određenim brojevima ili svim kontaktima. To mu omogućuje dobivanje OTP-ova i 2FA-ova/MFA-ova poslanih putem tekstualnih poruka, kao i informacija iz Google Autentifikatora.

Nexus također može obavljati tajne telefonske pozive i prosljeđivati ih, kao i mijenjati podatke o kontaktu. To znači da bi se mogao koristiti za zlonamjerni softver Toll Fraud. Može slati poruke svim kontaktima, što može rezultirati širenjem neželjenih SMS poruka.

Nadalje, trojanac može upravljati obavijestima čitanjem, presretanjem, skrivanjem, pa čak i prikazivanjem lažnih. Također može provjeriti pokrenute procese, izbrisati programe, otvoriti aplikacije, zaključati/otključati uređaj, isključiti/uključiti zvuk, otvoriti URL-ove putem preglednika, prikazati lažna preklapanja s upozorenjima sustava, nabaviti popise korisničkih računa i dobiti vjerodajnice za prijavu i stanja za novčanike kriptovaluta.

Nexus također može čitati i brisati datoteke iz povezane vanjske pohrane, što bi se moglo koristiti za izazivanje lančanih infekcija ubacivanjem dodatnog zlonamjernog sadržaja u uređaje. Iako se trenutačno čini da se prvenstveno koristi za dobivanje paketa za ubacivanje HTML-a za bankarske aplikacije, potencijalno bi se mogao promijeniti kako bi zarazio uređaje dodatnim zlonamjernim softverom, kao što je ransomware.