Nexus Banking trójai

A Nexus banki trójai egyfajta mobil rosszindulatú program, amely az Android operációs rendszereket célozza meg. A fenyegetés lényegében a korábban azonosított és nyomon követett SOVA banki trójai újramárkázott változata. Elsődleges célja, hogy banki és pénzügyi információkat lopjon el az áldozatok fertőzött eszközeiről. Ugyanakkor számos rosszindulatú funkciója is van, amelyek jelentősebb fenyegetést jelentenek.

A Nexus olyan műveleteket hajthat végre, mint például más alkalmazások bejelentkezési adatainak ellopása, hangfelvétel és képernyőképek készítése. Az ilyen típusú rosszindulatú programok kémprogramokat is végrehajthatnak, például hozzáférhetnek a névjegyekhez, üzenetekhez és más, az eszközön tárolt érzékeny információkhoz. Mint ilyen, jelentős veszélyt jelent mind a személyes adatok védelmére, mind a kiberbiztonságra. A Nexus Android banki trójairól részleteket hoztak nyilvánosságra a Cyble kutatói.

A Nexus Banking trójai érzékeny információkat gyűjt be a fertőzött eszközökről

A Nexus rosszindulatú program az Android kisegítő szolgáltatásokkal való visszaélésével szerez irányítást a felhasználók eszközei felett. Ez a jogszerű funkció arra szolgál, hogy segítse a felhasználókat eszközeik egyszerűbb kezelésében a kattintások szimulálásával, a megjelenített szöveg elolvasásával stb. Amint a rosszindulatú program behatol az eszközbe (általában legális alkalmazásnak álcázva), arra kéri a felhasználókat, hogy engedélyezzék az akadálymentesítési szolgáltatásokat, amelyek különféle módokon kölcsönhatásba léphetnek a géppel.

Miután megszerezte az irányítást a kisegítő szolgáltatások felett, a Nexus kiterjesztheti jogosultságait, és további engedélyeket adhat magának, beleértve azt a képességet, hogy megakadályozza a felhasználókat a kisegítő lehetőségek letiltásában, valamint a Google Play Protect és egyéb jelszavas biztonsági intézkedések kikapcsolását.

A Nexus különféle eszközinformációkat gyűjt, beleértve a telefon modelljét, az operációs rendszer verzióját, az IMEI-t, az akkumulátor állapotát, az IP-címet (földrajzi helymeghatározást), a SIM-kártya azonosítóját, a telefonszámot és a mobilhálózati adatokat. A kártevő kifejezetten több mint negyven népszerű banki alkalmazást céloz meg, ellenőrzi a készülékre telepített alkalmazások listáját, és minden banki alkalmazáshoz letölti a megfelelő HTML-injekciós kódot. Ez a kód hamis fedvényt hoz létre, amely akkor aktiválódik, amikor a felhasználó kapcsolatba lép a legális banki alkalmazással, és felkéri a felhasználót, hogy adja meg bejelentkezési adatait.

Amint a felhasználó megadja bejelentkezési adatait, a kártevő elküldi azokat a támadóknak, így hozzáférést biztosít a felhasználó bankszámlájához. Mivel a rosszindulatú program képes megakadályozni, hogy a felhasználó letiltja az Accessibility Services szolgáltatást, továbbra is gyűjthet érzékeny információkat, és veszélyeztetheti a felhasználó eszközét.

A Nexus Banking trójai átveszi az irányítást a feltört eszközök felett

A Nexus trójai egy rosszindulatú szoftver, amely számos olyan funkcióval rendelkezik, amelyek segítségével átveheti az érzékeny tartalmat, különösen a bankszámlákat. Az egyik kulcsfontosságú képessége a billentyűleütések rögzítésének képessége (billentyűnaplózás), amely felhasználható bejelentkezési adatok és egyéb érzékeny információk rögzítésére.

Ezenkívül a Nexus kezelheti az SMS-üzeneteket, a hívásokat és az értesítéseket is. Tud olvasni, elfogni, elrejteni, törölni, és akár szöveges üzeneteket is küldeni adott számoknak vagy az összes névjegynek. Ez lehetővé teszi a szöveges üzenetekben küldött OTP-k és 2FA-k/MFA-k, valamint a Google Authenticatorból származó információk megszerzését.

A Nexus emellett lopakodó telefonhívásokat is kezdeményezhet és továbbíthat, valamint módosíthatja a kapcsolattartási adatokat. Ez azt jelenti, hogy használható Toll Fraud malware ellen. Minden kapcsolatnak képes üzenetet küldeni, ami a spam SMS-ek elterjedését eredményezheti.

Ezen túlmenően a trójai képes kezelni az értesítéseket azáltal, hogy elolvassa, elfogja, elrejti, sőt megjeleníti a hamis értesítéseket. Ellenőrizheti a futó folyamatokat, törölheti a programokat, megnyithat alkalmazásokat, zárhatja/feloldhatja az eszközt, elnémíthatja/feloldhatja a hangot, megnyithat URL-eket böngészőn keresztül, hamis rendszerriasztási fedvényeket jeleníthet meg, felhasználói fiókok listáját szerezheti be, valamint bejelentkezési hitelesítő adatokat és egyenlegeket szerezhet be kriptovaluta pénztárcákhoz.

A Nexus a csatlakoztatott külső tárolóról is képes olvasni és törölni a fájlokat, amelyek láncfertőzéseket okozhatnak azáltal, hogy további rosszindulatú tartalmat juttatnak az eszközökbe. Bár jelenleg úgy tűnik, hogy elsősorban banki alkalmazások HTML-injekciós csomagjainak beszerzésére használják, potenciálisan módosítható, hogy az eszközöket további rosszindulatú programokkal, például zsarolóprogramokkal fertőzze meg.