Nexus Android trójai

A „Nexus” néven ismert, feltörekvő Android banki trójai már számos fenyegetés szereplőjének rosszindulatú eszközei közé került. A kiberbűnözők a fenyegetést megközelítőleg 450 pénzügyi alkalmazás megcélzására használták fel, és csaló tevékenységeket hajtottak végre.

A fenyegetésről jelentést közzétevő olasz kiberbiztonsági osztály szerint a Nexus a fejlesztés korai szakaszában jár. A trójai azonban minden szükséges funkciót biztosít ahhoz, hogy fiókátvételi (ATO) támadásokat hajtson végre banki portálok és kriptovaluta szolgáltatások ellen, mint például a bejelentkezési adatok ellopása és az SMS-ek lehallgatása. A Nexus rosszindulatú képességei kifinomult és veszélyes banki trójaivá teszik, amely jelentős anyagi károkat okozhat áldozatainak. A Nexust kifejezetten az Android-eszközök veszélyeztetésére tervezték.

A Nexus Banking Trojan előfizetéses szolgáltatásként érhető el

A Nexus Banking trójairól kiderült, hogy MaaS (Malware-as-a-Service) rendszerként havi 3000 dollárért árulják különböző hacker fórumokon. Vannak azonban bizonyítékok arra utalnak, hogy a trójai már 2022 júniusában, legalább hat hónappal a darknet portálokon való hivatalos bejelentése előtt bevetették a valós támadásokat.

A rosszindulatú programok készítői megerősítették, hogy a Nexus fertőzések többségét Törökországban jelentették a saját Telegram csatornájuk szerint. Ezenkívül kiderült, hogy a kártevő fenyegetés átfedésben van egy másik banki trójaival, a SOVA-val, amely valójában újrafelhasználja annak forráskódját. A Nexus trójai egy zsarolóvírus-modult is tartalmaz, amelyet úgy tűnik, aktívan fejlesztenek.

Érdekes módon a Nexus szerzői kifejezetten tiltó szabályokat állítottak fel kártevőik használatára több országban, köztük Azerbajdzsánban, Örményországban, Fehéroroszországban, Kazahsztánban, Kirgizisztánban, Moldovában, Oroszországban, Tádzsikisztánban, Üzbegisztánban, Ukrajnában és Indonéziában.

A Nexus Banking Trojan fenyegető képességeinek kiterjedt listája

A Nexust kifejezetten arra tervezték, hogy illetéktelen hozzáférést szerezzen a felhasználók banki és kriptovaluta számláihoz különféle technikák, például overlay támadások és kulcsnaplózás alkalmazásával. Ezekkel a módszerekkel a rosszindulatú program ellopja a felhasználók bejelentkezési adatait és egyéb érzékeny információkat.

Ezen taktikák mellett a kártevő képes kétfaktoros hitelesítési (2FA) kódok olvasására, mind az SMS-ekből, mind a Google Authenticator alkalmazásból. Ezt az Android akadálymentesítési szolgáltatásainak kihasználása teszi lehetővé.

Ezen túlmenően a kártevő új funkciókkal bővült, mint például a kapott SMS-ek eltávolítása, a 2FA stealer modul aktiválása vagy deaktiválása, valamint a parancs-és vezérlő (C2) szerverrel való időszakos kommunikáció révén frissítése. Ezek az új funkciók még veszélyesebbé és nehezebben észlelhetővé teszik a kártevőt.