Nexus Banking Trojas zirgs

Nexus banku Trojas zirgs ir mobilajām ierīcēm paredzētas ļaunprātīgas programmatūras veids, kuras mērķauditorija ir Android operētājsistēmas. Draudi būtībā ir iepriekš identificētā un izsekotā SOVA banku Trojas zirga versija, kas ir pārveidota par zīmolu. Tās galvenais mērķis ir nozagt banku un finanšu informāciju no upuru inficētajām ierīcēm. Tomēr tam ir arī dažādas ļaunprātīgas funkcijas, kas padara to par nozīmīgāku draudu.

Nexus var veikt tādas darbības kā citu lietojumprogrammu pieteikšanās akreditācijas datu zagšana, audio ierakstīšana un ekrānuzņēmumu uzņemšana. Šāda veida ļaunprātīga programmatūra var veikt arī spiegprogrammatūras funkcijas, piemēram, piekļūt kontaktpersonām, ziņojumiem un citai sensitīvai informācijai, kas glabājas ierīcē. Tādējādi tas nopietni apdraud gan personas privātumu, gan kiberdrošību. Sīkāku informāciju par Nexus Android banku Trojas zirgu sabiedrībai sniedza Cible pētnieki.

Nexus Banking Trojas zirgs iegūst sensitīvu informāciju no inficētām ierīcēm

Nexus ļaunprātīgā programmatūra iegūst kontroli pār lietotāju ierīcēm, ļaunprātīgi izmantojot Android pieejamības pakalpojumus. Šī likumīgā funkcija ir paredzēta, lai palīdzētu lietotājiem vieglāk darbināt ierīces, simulējot klikšķus, lasot parādīto tekstu utt. Kad ļaunprātīga programmatūra iekļūst ierīcē (parasti tiek maskēta kā likumīga lietotne), tā pieprasa lietotājiem iespējot pieejamības pakalpojumus, kas var dažādos veidos mijiedarboties ar iekārtu.

Pēc pieejamības pakalpojumu kontroles iegūšanas Nexus var palielināt savas privilēģijas un piešķirt sev papildu atļaujas, tostarp iespēju neļaut lietotājiem atspējot pieejamības pakalpojumus un deaktivizēt Google Play Protect un citus paroles drošības pasākumus.

Nexus apkopo dažādu ierīces informāciju, tostarp tālruņa modeli, OS versiju, IMEI, akumulatora statusu, IP adresi (ģeolokāciju), SIM kartes ID, tālruņa numuru un mobilā tīkla datus. Ļaunprātīga programmatūra ir īpaši vērsta uz vairāk nekā četrdesmit populārām banku lietojumprogrammām, pārbaudot ierīcē instalēto lietojumprogrammu sarakstu un katrai bankas lietotnei lejupielādējot atbilstošo HTML injekcijas kodu. Šis kods izveido viltotu pārklājumu, kas tiek aktivizēts, kad lietotājs mijiedarbojas ar likumīgo bankas lietotni, un liek lietotājam ievadīt savus pieteikšanās akreditācijas datus.

Kad lietotājs ievada savus pieteikšanās akreditācijas datus, ļaunprogrammatūra tos nosūta uzbrucējiem, nodrošinot tiem piekļuvi lietotāja bankas kontam. Tā kā ļaunprogrammatūra var neļaut lietotājam atspējot pieejamības pakalpojumus, tā var turpināt vākt sensitīvu informāciju un apdraudēt lietotāja ierīci.

Nexus Banking Trojas zirgs iegūst kontroli pār bojātajām ierīcēm

Trojas zirgs Nexus ir ļaunprātīga programmatūra, kurai ir dažādas funkcijas, kas palīdz kontrolēt sensitīvu saturu, jo īpaši banku kontus. Viena no tās galvenajām iespējām ir iespēja ierakstīt taustiņu nospiešanu (taustiņu reģistrēšana), ko var izmantot, lai tvertu pieteikšanās akreditācijas datus un citu sensitīvu informāciju.

Turklāt Nexus var arī pārvaldīt īsziņas, zvanus un paziņojumus. Tas var lasīt, pārtvert, paslēpt, dzēst un pat nosūtīt īsziņas uz noteiktiem numuriem vai visiem kontaktiem. Tas ļauj iegūt OTP un 2FA/MFA, kas nosūtītas ar īsziņām, kā arī informāciju no Google autentifikatora.

Nexus var arī veikt slepenus tālruņa zvanus un tos pāradresēt, kā arī mainīt kontaktinformāciju. Tas nozīmē, ka to var izmantot ļaunprātīgai programmatūrai Toll Fraud. Tas var sūtīt ziņojumus visiem kontaktiem, kā rezultātā var izplatīties surogātpasta īsziņas.

Turklāt Trojas zirgs var pārvaldīt paziņojumus, lasot, pārtverot, slēpjot un pat parādot viltotus paziņojumus. Tā var arī pārbaudīt darbojošos procesus, dzēst programmas, atvērt lietotnes, bloķēt/atbloķēt ierīci, izslēgt/ieslēgt skaņu, atvērt vietrāžus URL, izmantojot pārlūkprogrammas, parādīt viltotus sistēmas brīdinājumu pārklājumus, iegūt lietotāju kontu sarakstus un iegūt pieteikšanās akreditācijas datus un kriptovalūtu maku atlikumus.

Nexus var arī nolasīt un dzēst failus no pievienotās ārējās krātuves, ko var izmantot, lai izraisītu ķēdes infekcijas, ierīcēs ievadot papildu ļaunprātīgu saturu. Lai gan pašlaik šķiet, ka to galvenokārt izmanto, lai iegūtu HTML injekcijas pakotnes banku lietotnēm, to, iespējams, var mainīt, lai inficētu ierīces ar papildu ļaunprātīgu programmatūru, piemēram, izpirkuma programmatūru.