Nexus-banktrojan

De Nexus-banktrojan is een soort mobiele malware die zich richt op Android-besturingssystemen. De dreiging is in wezen een omgedoopte versie van de eerder geïdentificeerde en gevolgde SOVA-banktrojan. Het primaire doel is het stelen van bank- en financiële informatie van de geïnfecteerde apparaten van de slachtoffers. Het heeft echter ook verschillende kwaadaardige kenmerken die het een grotere bedreiging maken.

Nexus kan acties uitvoeren zoals het stelen van inloggegevens voor andere applicaties, het opnemen van audio en het maken van screenshots. Dit type malware kan ook spywarefuncties uitvoeren, zoals toegang tot contacten, berichten en andere gevoelige informatie die op het apparaat is opgeslagen. Als zodanig vormt het een aanzienlijke bedreiging voor zowel de persoonlijke levenssfeer als de cyberbeveiliging. De onderzoekers van Cyble hebben details vrijgegeven over de Nexus Android-banktrojan.

Nexus Banking Trojan verzamelt gevoelige informatie van geïnfecteerde apparaten

De Nexus-malware krijgt controle over de apparaten van gebruikers door misbruik te maken van de Android Accessibility Services. Deze legitieme functie is bedoeld als een manier om gebruikers te helpen hun apparaten gemakkelijker te bedienen door klikken te simuleren, weergegeven tekst te lezen, enz. Zodra de malware een apparaat infiltreert (meestal vermomd als een legitieme app), vraagt het gebruikers om toegankelijkheidsservices in te schakelen, die op verschillende manieren met de machine kunnen interageren.

Nadat Nexus de controle over de toegankelijkheidsservices heeft verkregen, kan het zijn rechten verhogen en zichzelf aanvullende machtigingen verlenen, waaronder de mogelijkheid om te voorkomen dat gebruikers de toegankelijkheidsservices uitschakelen en Google Play Protect en andere wachtwoordbeveiligingsmaatregelen deactiveren.

Nexus verzamelt verschillende apparaatgegevens, waaronder het telefoonmodel, de versie van het besturingssysteem, IMEI, batterijstatus, IP-adres (geolocatie), SIM-kaart-ID, telefoonnummer en mobiele netwerkgegevens. De malware richt zich specifiek op meer dan veertig populaire bankapplicaties, controleert de lijst met applicaties die op het apparaat zijn geïnstalleerd en downloadt de juiste HTML-injectiecode voor elke bankapp. Deze code creëert een nep-overlay, die wordt geactiveerd wanneer de gebruiker interactie heeft met de legitieme bank-app, en vraagt de gebruiker om zijn inloggegevens in te voeren.

Zodra de gebruiker zijn inloggegevens invoert, stuurt de malware deze naar de aanvallers, waardoor ze toegang krijgen tot de bankrekening van de gebruiker. Omdat de malware kan voorkomen dat de gebruiker de toegankelijkheidsservices uitschakelt, kan deze gevoelige informatie blijven verzamelen en het apparaat van de gebruiker in gevaar brengen.

Nexus Banking Trojan krijgt controle over de gehackte apparaten

De Nexus-trojan is schadelijke software met verschillende functionaliteiten die hem helpen controle te krijgen over gevoelige inhoud, met name bankrekeningen. Een van de belangrijkste mogelijkheden is de mogelijkheid om toetsaanslagen vast te leggen (keylogging) die kunnen worden gebruikt om inloggegevens en andere gevoelige informatie vast te leggen.

Daarnaast kan Nexus ook sms-berichten, oproepen en meldingen beheren. Het kan sms-berichten lezen, onderscheppen, verbergen, verwijderen en zelfs verzenden naar specifieke nummers of alle contacten. Hierdoor kan het OTP's en 2FA's/MFA's ontvangen die via sms zijn verzonden, evenals informatie van Google Authenticator.

Nexus kan ook onopvallend bellen en doorsturen, en contactgegevens wijzigen. Dit betekent dat het kan worden gebruikt voor Toll Fraud-malware. Het kan berichten naar alle contacten sturen, wat kan resulteren in de verspreiding van spam-sms-berichten.

Bovendien kan de trojan meldingen beheren door nepmeldingen te lezen, te onderscheppen, te verbergen en zelfs weer te geven. Het kan ook lopende processen controleren, programma's verwijderen, apps openen, het apparaat vergrendelen/ontgrendelen, geluid dempen/opheffen, URL's openen via browsers, nep-overlays met systeemwaarschuwingen weergeven, gebruikersaccountlijsten verkrijgen en inloggegevens en saldi voor cryptocurrency-portefeuilles verkrijgen.

Nexus kan ook bestanden lezen en verwijderen van aangesloten externe opslag, die kunnen worden gebruikt om kettinginfecties te veroorzaken door extra schadelijke inhoud in apparaten te injecteren. Hoewel het momenteel voornamelijk lijkt te worden gebruikt om HTML-injectiepakketten voor bank-apps te verkrijgen, kan het mogelijk worden gewijzigd om apparaten te infecteren met aanvullende malware, zoals ransomware.