Nexus Banking Trojan

Nexus-banktrojaneren er en type mobil skadelig programvare som er rettet mot Android-operativsystemer. Trusselen er i hovedsak en omdøpt versjon av den tidligere identifiserte og sporede SOVA-banktrojaneren. Dens primære mål er å stjele bank- og finansinformasjon fra de infiserte enhetene til ofrene. Imidlertid har den også forskjellige ondsinnede funksjoner som gjør den til en mer betydelig trussel.

Nexus kan utføre handlinger som å stjele påloggingsinformasjon for andre applikasjoner, ta opp lyd og ta skjermbilder. Denne typen skadelig programvare kan også utføre spionprogramfunksjoner som tilgang til kontakter, meldinger og annen sensitiv informasjon som er lagret på enheten. Som sådan utgjør det en betydelig trussel mot både personvern og cybersikkerhet. Detaljer om Nexus Android-banktrojanen ble offentliggjort av forskerne ved Cyble.

Nexus Banking Trojan høster sensitiv informasjon fra infiserte enheter

Nexus malware får kontroll over brukernes enheter ved å misbruke Android Accessibility Services. Denne legitime funksjonen er ment som en måte å hjelpe brukere med å lettere betjene enhetene sine ved å simulere klikk, lese vist tekst osv. Når skadelig programvare infiltrerer en enhet (vanligvis forkledd som en legitim app), ber den brukerne om å aktivere tilgjengelighetstjenester, som kan samhandle med maskinen på ulike måter.

Etter å ha fått kontroll over tilgjengelighetstjenestene, kan Nexus eskalere privilegiene sine og gi seg selv ytterligere tillatelser, inkludert muligheten til å hindre brukere i å deaktivere tilgjengelighetstjenestene og deaktivere Google Play Protect og andre passordsikkerhetstiltak.

Nexus samler inn forskjellig enhetsinformasjon, inkludert telefonmodell, OS-versjon, IMEI, batteristatus, IP-adresse (geolokalisering), SIM-kort-ID, telefonnummer og mobilnettverksdata. Skadevaren retter seg spesifikt mot over førti populære bankapplikasjoner, sjekker listen over applikasjoner som er installert på enheten og laster ned riktig HTML-injeksjonskode for hver bankapp. Denne koden lager et falskt overlegg, som utløses når brukeren samhandler med den legitime bankappen, og ber brukeren om å skrive inn påloggingsinformasjonen.

Når brukeren har skrevet inn påloggingsinformasjonen sin, sender skadelig programvare dem til angriperne, og gir dem tilgang til brukerens bankkonto. Siden skadelig programvare er i stand til å hindre brukeren i å deaktivere tilgjengelighetstjenestene, kan den fortsette å samle inn sensitiv informasjon og kompromittere brukerens enhet.

Nexus Banking Trojan får kontroll over enhetene som brytes

Nexus-trojaneren er en skadelig programvare som har ulike funksjoner som hjelper den å få kontroll over sensitivt innhold, spesielt bankkontoer. En av nøkkelegenskapene er muligheten til å registrere tastetrykk (tastelogging) som kan brukes til å fange inn påloggingsinformasjon og annen sensitiv informasjon.

I tillegg kan Nexus også administrere SMS-meldinger, anrop og varsler. Den kan lese, avskjære, skjule, slette og til og med sende tekstmeldinger til bestemte numre eller alle kontakter. Dette gjør at den kan hente engangskoder og 2FAer/MFAer sendt via tekstmeldinger, samt informasjon fra Google Authenticator.

Nexus kan også foreta skjulte telefonsamtaler og videresende dem, samt endre kontaktinformasjon. Dette betyr at det kan brukes for Toll Fraud malware. Den kan sende meldinger til alle kontakter, noe som kan føre til spredning av spam-SMS-meldinger.

Videre kan trojaneren administrere varsler ved å lese, avskjære, skjule og til og med vise falske. Den kan også sjekke kjørende prosesser, slette programmer, åpne apper, låse/låse opp enheten, dempe/slå på lyd, åpne URL-er via nettlesere, vise falske systemvarslingsoverlegg, skaffe brukerkontolister og få påloggingsinformasjon og saldo for kryptovaluta-lommebøker.

Nexus kan også lese og slette filer fra tilkoblet ekstern lagring, som kan brukes til å forårsake kjedeinfeksjoner ved å injisere ytterligere skadelig innhold i enheter. Selv om det for øyeblikket ser ut til å bli brukt primært til å skaffe HTML-injeksjonspakker for bankapper, kan det potensielt endres for å infisere enheter med ytterligere skadelig programvare, for eksempel løsepengeprogramvare.