Trojan bankowy Nexus

Trojan bankowy Nexus to rodzaj mobilnego złośliwego oprogramowania atakującego systemy operacyjne Android. Zagrożenie to zasadniczo zmieniona wersja wcześniej zidentyfikowanego i śledzonego trojana bankowego SOVA. Jego głównym celem jest kradzież informacji bankowych i finansowych z zainfekowanych urządzeń swoich ofiar. Jednak ma również różne złośliwe funkcje, które czynią go bardziej znaczącym zagrożeniem.

Nexus może wykonywać czynności, takie jak kradzież danych logowania do innych aplikacji, nagrywanie dźwięku i robienie zrzutów ekranu. Ten typ złośliwego oprogramowania może również wykonywać funkcje oprogramowania szpiegującego, takie jak uzyskiwanie dostępu do kontaktów, wiadomości i innych poufnych informacji przechowywanych na urządzeniu. W związku z tym stanowi poważne zagrożenie zarówno dla prywatności, jak i bezpieczeństwa cybernetycznego. Szczegóły dotyczące trojana bankowego Nexus Android zostały upublicznione przez badaczy z Cyble.

Nexus Banking Trojan zbiera poufne informacje z zainfekowanych urządzeń

Szkodliwe oprogramowanie Nexus przejmuje kontrolę nad urządzeniami użytkowników, nadużywając usług ułatwień dostępu Androida. Ta legalna funkcja ma na celu pomóc użytkownikom w łatwiejszej obsłudze ich urządzeń poprzez symulowanie kliknięć, odczytywanie wyświetlanego tekstu itp. Po infiltracji urządzenia przez złośliwe oprogramowanie (zwykle przebrane za legalną aplikację) prosi użytkowników o włączenie usług ułatwień dostępu, które mogą wchodzić w interakcje z maszyną na różne sposoby.

Po przejęciu kontroli nad usługami ułatwień dostępu Nexus może zwiększyć swoje uprawnienia i przyznać sobie dodatkowe uprawnienia, w tym możliwość uniemożliwienia użytkownikom wyłączania usług ułatwień dostępu i dezaktywacji Google Play Protect oraz innych zabezpieczeń haseł.

Nexus zbiera różne informacje o urządzeniu, w tym model telefonu, wersję systemu operacyjnego, numer IMEI, stan baterii, adres IP (geolokalizacja), identyfikator karty SIM, numer telefonu i dane sieci komórkowej. Złośliwe oprogramowanie atakuje w szczególności ponad czterdzieści popularnych aplikacji bankowych, sprawdzając listę aplikacji zainstalowanych na urządzeniu i pobierając odpowiedni kod wstrzykiwania HTML dla każdej aplikacji bankowej. Kod ten tworzy fałszywą nakładkę, która jest uruchamiana, gdy użytkownik wchodzi w interakcję z legalną aplikacją bankową i prosi użytkownika o wprowadzenie danych logowania.

Gdy użytkownik wprowadzi swoje dane logowania, złośliwe oprogramowanie wysyła je do atakujących, dając im dostęp do konta bankowego użytkownika. Ponieważ złośliwe oprogramowanie jest w stanie uniemożliwić użytkownikowi wyłączenie usług ułatwień dostępu, może nadal gromadzić poufne informacje i narażać urządzenie użytkownika.

Nexus Banking Trojan przejmuje kontrolę nad naruszonymi urządzeniami

Trojan Nexus to złośliwe oprogramowanie, które ma różne funkcje, które pomagają mu przejąć kontrolę nad poufnymi treściami, zwłaszcza kontami bankowymi. Jedną z jego kluczowych zdolności jest możliwość rejestrowania naciśnięć klawiszy (keylogging), które mogą być wykorzystane do przechwytywania danych logowania i innych poufnych informacji.

Ponadto Nexus może również zarządzać wiadomościami SMS, połączeniami i powiadomieniami. Może czytać, przechwytywać, ukrywać, usuwać, a nawet wysyłać wiadomości tekstowe na określone numery lub wszystkie kontakty. Dzięki temu uzyskuje OTP i 2FA/MFA wysyłane za pośrednictwem wiadomości tekstowych, a także informacje z Google Authenticator.

Nexus może również wykonywać potajemne połączenia telefoniczne i przekazywać je, a także zmieniać informacje kontaktowe. Oznacza to, że może być używany do złośliwego oprogramowania Toll Fraud. Może wysyłać wiadomości do wszystkich kontaktów, co może prowadzić do rozprzestrzeniania spamowych wiadomości SMS.

Co więcej, trojan może zarządzać powiadomieniami poprzez czytanie, przechwytywanie, ukrywanie, a nawet pokazywanie fałszywych powiadomień. Może również sprawdzać uruchomione procesy, usuwać programy, otwierać aplikacje, blokować/odblokowywać urządzenie, wyciszać/włączać dźwięk, otwierać adresy URL za pośrednictwem przeglądarek, wyświetlać fałszywe nakładki alertów systemowych, uzyskiwać listy kont użytkowników oraz uzyskiwać dane logowania i salda do portfeli kryptowalut.

Nexus może również odczytywać i usuwać pliki z podłączonej pamięci zewnętrznej, co może zostać wykorzystane do wywoływania infekcji łańcuchowych poprzez wstrzykiwanie dodatkowej złośliwej zawartości do urządzeń. Chociaż obecnie wydaje się, że jest używany głównie do uzyskiwania pakietów do wstrzykiwania kodu HTML dla aplikacji bankowych, może zostać potencjalnie zmieniony w celu infekowania urządzeń dodatkowym złośliwym oprogramowaniem, takim jak ransomware.