Nexus Android-trojan

Een opkomende trojan voor Android-bankieren, bekend als 'Nexus', is al toegevoegd aan de kwaadaardige tools van verschillende bedreigingsactoren. De cybercriminelen hebben de dreiging gebruikt om ongeveer 450 financiële applicaties aan te vallen en frauduleuze activiteiten uit te voeren.

Volgens de Italiaanse cyberbeveiliging die een rapport over de dreiging heeft uitgebracht, lijkt Nexus zich in de beginfase van ontwikkeling te bevinden. De trojan biedt echter alle benodigde functies om Account Takeover-aanvallen (ATO) uit te voeren op bankportalen en cryptocurrency-services, zoals het stelen van inloggegevens en het onderscheppen van sms-berichten. De kwaadaardige mogelijkheden van Nexus maken het tot een geavanceerde en gevaarlijke bank-trojan die aanzienlijke financiële schade kan toebrengen aan zijn slachtoffers. Nexus is speciaal ontworpen om Android-apparaten in gevaar te brengen.

De Nexus Banking Trojan wordt aangeboden als abonnementsservice

Er werd ontdekt dat de Nexus Banking Trojan te koop werd aangeboden op verschillende hackfora voor $ 3.000 per maand als MaaS-schema (Malware-as-a-Service). Er zijn echter aanwijzingen dat de trojan mogelijk al in juni 2022 is ingezet bij real-world aanvallen, ten minste zes maanden voorafgaand aan de officiële aankondiging op de darknet-portals.

De malware-auteurs hebben bevestigd dat de meeste Nexus-infecties zijn gemeld in Turkije, volgens hun eigen Telegram-kanaal. Bovendien is gebleken dat de malware-dreiging overlapt met een andere bank-trojan genaamd SOVA, waarbij in feite delen van de broncode worden hergebruikt. De Nexus Trojan bevat ook een ransomware-module die actief lijkt te worden ontwikkeld.

Interessant is dat de auteurs van Nexus expliciete regels hebben opgesteld die het gebruik van hun malware verbieden in verschillende landen, waaronder Azerbeidzjan, Armenië, Wit-Rusland, Kazachstan, Kirgizië, Moldavië, Rusland, Tadzjikistan, Oezbekistan, Oekraïne en Indonesië.

Uitgebreide lijst van de bedreigende mogelijkheden gevonden in Nexus Banking Trojan

Nexus is speciaal ontworpen om ongeautoriseerde toegang te krijgen tot de bank- en cryptocurrency-accounts van gebruikers door gebruik te maken van verschillende technieken, zoals overlay-aanvallen en keylogging. Via deze methoden steelt de malware de inloggegevens van de gebruikers en andere gevoelige informatie.

Naast deze tactieken heeft de malware de mogelijkheid om codes voor tweefactorauthenticatie (2FA) te lezen, zowel uit sms-berichten als uit de Google Authenticator-app. Dit wordt mogelijk gemaakt door gebruik te maken van toegankelijkheidsservices in Android.

Bovendien is de malware verbeterd met nieuwe functionaliteiten, zoals de mogelijkheid om ontvangen sms-berichten te verwijderen, de 2FA-stealer-module te activeren of deactiveren en zichzelf bij te werken door periodiek te communiceren met een command-and-control (C2)-server. Deze nieuwe functies maken de malware nog gevaarlijker en moeilijker te detecteren.