Nexus Banking Trojan

Nexus 뱅킹 트로이 목마는 Android 운영 체제를 대상으로 하는 모바일 맬웨어 유형입니다. 위협 요소는 본질적으로 이전에 식별되고 추적된 SOVA 뱅킹 트로이 목마의 리브랜딩 버전입니다. 주요 목표는 피해자의 감염된 장치에서 은행 및 금융 정보를 훔치는 것입니다. 그러나 이를 더욱 심각한 위협으로 만드는 다양한 악성 기능도 있습니다.

Nexus는 다른 애플리케이션의 로그인 자격 증명 도용, 오디오 녹음, 스크린샷 촬영과 같은 작업을 수행할 수 있습니다. 이러한 유형의 맬웨어는 장치에 저장된 연락처, 메시지 및 기타 중요한 정보에 액세스하는 것과 같은 스파이웨어 기능을 수행할 수도 있습니다. 따라서 개인 정보 보호와 사이버 보안 모두에 중대한 위협이 됩니다. Nexus Android 뱅킹 트로이 목마에 대한 세부 정보가 Cyble의 연구원에 의해 대중에게 공개되었습니다.

Nexus Banking Trojan, 감염된 기기에서 민감한 정보 수집

Nexus 멀웨어는 Android 접근성 서비스를 악용하여 사용자의 기기를 제어합니다. 이 합법적인 기능은 클릭 시뮬레이션, 표시된 텍스트 읽기 등을 통해 사용자가 장치를 보다 쉽게 작동할 수 있도록 돕기 위한 방법입니다. 멀웨어가 장치에 침투하면(일반적으로 합법적인 앱으로 위장) 사용자에게 접근성 서비스를 활성화하도록 요청합니다. 다양한 방식으로 기계와 상호 작용할 수 있습니다.

접근성 서비스에 대한 제어 권한을 얻은 후 Nexus는 사용자가 접근성 서비스를 비활성화하지 못하도록 방지하고 Google Play 프로텍트 및 기타 비밀번호 보안 조치를 비활성화하는 기능을 포함하여 권한을 확대하고 자체적으로 추가 권한을 부여할 수 있습니다.

Nexus는 휴대전화 모델, OS 버전, IMEI, 배터리 상태, IP 주소(지리적 위치), SIM 카드 ID, 전화번호, 모바일 네트워크 데이터 등 다양한 기기 정보를 수집합니다. 이 악성코드는 특히 40개 이상의 인기 있는 뱅킹 애플리케이션을 대상으로 하며, 장치에 설치된 애플리케이션 목록을 확인하고 각 뱅킹 앱에 적합한 HTML 삽입 코드를 다운로드합니다. 이 코드는 사용자가 합법적인 뱅킹 앱과 상호 작용할 때 트리거되는 가짜 오버레이를 생성하고 사용자에게 로그인 자격 증명을 입력하라는 메시지를 표시합니다.

사용자가 로그인 자격 증명을 입력하면 맬웨어는 이를 공격자에게 전송하여 사용자의 은행 계좌에 대한 액세스 권한을 부여합니다. 맬웨어는 사용자가 접근성 서비스를 비활성화하는 것을 방지할 수 있으므로 민감한 정보를 계속 수집하고 사용자의 장치를 손상시킬 수 있습니다.

Nexus Banking Trojan, 침해된 장치 제어권 확보

Nexus 트로이 목마는 민감한 콘텐츠, 특히 은행 계좌를 제어하는 데 도움이 되는 다양한 기능을 가진 악성 소프트웨어입니다. 주요 기능 중 하나는 로그인 자격 증명 및 기타 민감한 정보를 캡처하는 데 사용할 수 있는 키 입력(키로깅)을 기록하는 기능입니다.

또한 Nexus는 SMS 메시지, 통화 및 알림을 관리할 수도 있습니다. 특정 번호 또는 모든 연락처에 문자 메시지를 읽고, 가로채고, 숨기고, 삭제할 수 있으며 심지어 보낼 수도 있습니다. 이를 통해 문자 메시지를 통해 전송된 OTP 및 2FA/MFA와 Google Authenticator의 정보를 얻을 수 있습니다.

Nexus는 또한 은밀한 전화를 걸고 전달할 수 있을 뿐만 아니라 연락처 정보를 변경할 수 있습니다. 이는 Toll Fraud 맬웨어에 사용될 수 있음을 의미합니다. 모든 연락처에 메시지를 보낼 수 있으므로 스팸 SMS 메시지가 확산될 수 있습니다.

또한 이 트로이 목마는 읽기, 가로채기, 숨기기, 가짜 알림 표시 등을 통해 알림을 관리할 수 있습니다. 또한 실행 중인 프로세스 확인, 프로그램 삭제, 앱 열기, 장치 잠금/잠금 해제, 소리 음소거/음소거 해제, 브라우저를 통한 URL 열기, 가짜 시스템 경고 오버레이 표시, 사용자 계정 목록 획득, 암호 화폐 지갑에 대한 로그인 자격 증명 및 잔액 획득 등의 작업을 수행할 수 있습니다.

또한 Nexus는 연결된 외부 저장소에서 파일을 읽고 삭제할 수 있으며, 이는 추가 악성 콘텐츠를 기기에 주입하여 체인 감염을 일으키는 데 사용될 수 있습니다. 현재는 주로 은행 앱용 HTML 주입 패키지를 얻는 데 사용되는 것으로 보이지만 랜섬웨어와 같은 추가 멀웨어로 장치를 감염시키도록 잠재적으로 변경될 수 있습니다.