Nexus Android Trojos arklys

Naujas „Android“ bankininkystės Trojos arklys, žinomas kaip „Nexus“, jau buvo įtrauktas į kelių grėsmių veikėjų kenkėjiškus įrankius. Kibernetiniai nusikaltėliai pasinaudojo šia grėsme, kad nusitaikytų į maždaug 450 finansinių programų ir vykdytų nesąžiningą veiklą.

Pasak Italijos kibernetinio saugumo tarnybos, kuri paskelbė ataskaitą apie grėsmę, atrodo, kad „Nexus“ yra ankstyvoje kūrimo stadijoje. Tačiau Trojos arklys suteikia visas būtinas funkcijas, reikalingas, kad būtų galima vykdyti sąskaitos perėmimo (ATO) atakas prieš bankų portalus ir kriptovaliutų paslaugas, pavyzdžiui, pavogti prisijungimo duomenis ir perimti SMS žinutes. Dėl kenkėjiškų „Nexus“ galimybių jis yra sudėtingas ir pavojingas bankininkystės Trojos arklys, galintis padaryti didelės finansinės žalos aukoms. „Nexus“ sukurtas specialiai „Android“ įrenginiams.

Nexus Banking Trojos arklys siūlomas kaip prenumeratos paslaugos

Nustatyta, kad „Nexus Banking Trojos arklys“ parduodamas įvairiuose įsilaužimo forumuose už 3 000 USD per mėnesį kaip „MaaS“ (kenkėjiškos programos kaip paslauga) schema. Tačiau yra įrodymų, kad Trojos arklys jau galėjo būti panaudotas realaus pasaulio atakoms jau 2022 m. birželio mėn., likus mažiausiai šešiems mėnesiams iki oficialaus paskelbimo „darknet“ portaluose.

Kenkėjiškų programų autoriai patvirtino, kad dauguma „Nexus“ infekcijų buvo pranešta Turkijoje, praneša jų pačių „Telegram“ kanalas. Be to, buvo nustatyta, kad kenkėjiškų programų grėsmė sutampa su kitu bankiniu Trojos arkliu, vadinamu SOVA, iš tikrųjų pakartotinai naudojanti savo šaltinio kodo dalis. Nexus Trojos arklys taip pat turi išpirkos reikalaujantį modulį, kuris, atrodo, yra aktyviai kuriamas.

Įdomu tai, kad „Nexus“ autoriai nustatė aiškias taisykles, draudžiančias naudoti jų kenkėjiškas programas keliose šalyse, įskaitant Azerbaidžaną, Armėniją, Baltarusiją, Kazachstaną, Kirgiziją, Moldovą, Rusiją, Tadžikistaną, Uzbekistaną, Ukrainą ir Indoneziją.

Išsamus grėsmingų galimybių, rastų „Nexus Banking Trojan“, sąrašas

„Nexus“ yra specialiai sukurta siekiant gauti neteisėtą prieigą prie vartotojų banko ir kriptovaliutų sąskaitų, naudojant įvairius metodus, pvz., perdangos atakas ir klavišų registravimą. Taikant šiuos metodus, kenkėjiška programa pavagia vartotojų prisijungimo duomenis ir kitą neskelbtiną informaciją.

Be šios taktikos, kenkėjiška programa gali nuskaityti dviejų faktorių autentifikavimo (2FA) kodus tiek iš SMS žinučių, tiek iš „Google Authenticator“ programos. Tai įmanoma naudojant „Android“ prieinamumo paslaugas.

Be to, kenkėjiška programa buvo patobulinta naujomis funkcijomis, tokiomis kaip galimybė pašalinti gautas SMS žinutes, aktyvuoti arba išjungti 2FA stealer modulį ir atnaujinti save periodiškai bendraujant su komandų ir valdymo (C2) serveriu. Dėl šių naujų funkcijų kenkėjiška programa tampa dar pavojingesnė ir sunkiai aptinkama.