넥서스 안드로이드 트로이 목마

'Nexus'로 알려진 새로운 Android 뱅킹 트로이 목마는 이미 여러 위협 행위자의 악성 도구에 추가되었습니다. 사이버 범죄자들은 이 위협을 사용하여 약 450개의 금융 애플리케이션을 표적으로 삼고 사기 행위를 수행했습니다.

위협에 대한 보고서를 발표한 이탈리아 사이버 보안에 따르면 Nexus는 개발 초기 단계에 있는 것으로 보입니다. 그러나 이 트로이 목마는 로그인 자격 증명 도용 및 SMS 메시지 가로채기와 같은 은행 포털 및 암호화폐 서비스에 대한 계정 탈취(ATO) 공격을 수행하는 데 필요한 모든 기능을 제공합니다. Nexus의 악의적인 기능으로 인해 피해자에게 심각한 금전적 피해를 입힐 수 있는 정교하고 위험한 뱅킹 트로이 목마가 됩니다. Nexus는 Android 기기를 손상시키도록 특별히 설계되었습니다.

Nexus Banking Trojan은 구독 서비스로 제공됩니다.

Nexus Banking Trojan은 MaaS(Malware-as-a-Service) 방식으로 월 3,000달러에 각종 해킹 포럼에서 판매되고 있는 것으로 밝혀졌습니다. 그러나 다크넷 포털에 공식적으로 발표되기 최소 6개월 전인 2022년 6월에 트로이 목마가 이미 실제 공격에 배포되었을 수 있다는 증거가 있습니다.

맬웨어 작성자는 자신의 Telegram 채널에 따라 대부분의 Nexus 감염이 터키에서 보고되었음을 확인했습니다. 또한 이 악성코드 위협은 실제로 소스 코드의 일부를 재사용하는 SOVA라는 또 다른 뱅킹 트로이목마와 중복되는 것으로 밝혀졌습니다. Nexus 트로이 목마에는 활발히 개발되고 있는 것으로 보이는 랜섬웨어 모듈도 포함되어 있습니다.

흥미롭게도 Nexus 작성자는 아제르바이잔, 아르메니아, 벨로루시, 카자흐스탄, 키르기스스탄, 몰도바, 러시아, 타지키스탄, 우즈베키스탄, 우크라이나 및 인도네시아를 포함한 여러 국가에서 악성 코드 사용을 금지하는 명시적인 규칙을 설정했습니다.

Nexus Banking Trojan에서 발견된 광범위한 위협 기능 목록

Nexus는 오버레이 공격 및 키로깅과 같은 다양한 기술을 사용하여 사용자의 은행 및 암호화폐 계정에 무단 액세스하도록 특별히 설계되었습니다. 이러한 방법을 통해 맬웨어는 사용자의 로그인 자격 증명 및 기타 중요한 정보를 훔칩니다.

이러한 전술 외에도 멀웨어는 SMS 메시지와 Google Authenticator 앱 모두에서 2단계 인증(2FA) 코드를 읽을 수 있습니다. 이는 Android의 접근성 서비스를 활용하여 가능합니다.

또한 이 악성코드는 수신된 SMS 메시지를 제거하고, 2FA 스틸러 모듈을 활성화 또는 비활성화하고, 명령 및 제어(C2) 서버와 주기적으로 통신하여 자체 업데이트하는 기능과 같은 새로운 기능으로 강화되었습니다. 이러한 새로운 기능은 맬웨어를 더욱 위험하고 탐지하기 어렵게 만듭니다.