Nexus Android Trojan

En kommende Android-banktrojaner kjent som 'Nexus' har allerede blitt lagt til de ondsinnede verktøyene til flere trusselaktører. De nettkriminelle har brukt trusselen til å målrette rundt 450 finansielle søknader og utføre uredelige aktiviteter.

I følge italiensk cybersikkerhet som ga ut en rapport om trusselen, ser det ut til at Nexus er i sine tidlige utviklingsstadier. Trojaneren tilbyr imidlertid alle nødvendige funksjoner for å utføre kontoovertakelse (ATO)-angrep mot bankportaler og kryptovalutatjenester, for eksempel å stjele påloggingsinformasjon og avskjære SMS-meldinger. De ondsinnede egenskapene til Nexus gjør den til en sofistikert og farlig banktrojaner som kan forårsake betydelig økonomisk skade på ofrene. Nexus er utviklet spesielt for å kompromittere Android-enheter.

Nexus Banking Trojan tilbys som abonnementstjenester

Nexus Banking Trojan ble oppdaget for salg på forskjellige hackingfora for $3000 per måned som MaaS (Malware-as-a-Service)-opplegg. Imidlertid er det bevis som tyder på at trojaneren allerede kan ha blitt utplassert i virkelige angrep så tidlig som i juni 2022, minst seks måneder før den offisielle kunngjøringen på darknet-portalene.

Skadevareforfatterne har bekreftet at flertallet av Nexus-infeksjoner er rapportert i Tyrkia, ifølge deres egen Telegram-kanal. Videre er det funnet at skadevaretrusselen overlapper med en annen banktrojaner kalt SOVA, som faktisk gjenbruker deler av kildekoden. Nexus Trojan inneholder også en løsepengevaremodul som ser ut til å være aktivt utviklet.

Interessant nok har forfatterne av Nexus satt eksplisitte regler som forbyr bruk av deres skadevare i flere land, inkludert Aserbajdsjan, Armenia, Hviterussland, Kasakhstan, Kirgisistan, Moldova, Russland, Tadsjikistan, Usbekistan, Ukraina og Indonesia.

Ekspansiv liste over truende evner funnet i Nexus Banking Trojan

Nexus er spesielt utviklet for å få uautorisert tilgang til brukernes bank- og kryptovalutakontoer ved å bruke ulike teknikker som overleggsangrep og nøkkellogging. Gjennom disse metodene stjeler skadevaren brukernes påloggingsinformasjon og annen sensitiv informasjon.

I tillegg til disse taktikkene har skadelig programvare muligheten til å lese koder for tofaktorautentisering (2FA), både fra SMS-meldinger og Google Authenticator-appen. Dette er gjort mulig gjennom utnyttelse av tilgjengelighetstjenester i Android.

Dessuten har skadevaren blitt forbedret med nye funksjoner, for eksempel muligheten til å fjerne mottatte SMS-meldinger, aktivere eller deaktivere 2FA-stealer-modulen og oppdatere seg selv ved periodisk å kommunisere med en kommando-og-kontroll-server (C2). Disse nye funksjonene gjør skadelig programvare enda farligere og vanskeligere å oppdage.