Trojan Nexus dla Androida

Pojawiający się trojan bankowy dla systemu Android, znany jako „Nexus”, został już dodany do złośliwych narzędzi kilku ugrupowań cyberprzestępczych. Cyberprzestępcy wykorzystali to zagrożenie, aby zaatakować około 450 aplikacji finansowych i przeprowadzić oszukańcze działania.

Według włoskiego cyberbezpieczeństwa, który opublikował raport o zagrożeniu, Nexus wydaje się być na wczesnym etapie rozwoju. Jednak trojan zapewnia wszystkie funkcje niezbędne do przeprowadzania ataków typu Account Takeover (ATO) na portale bankowe i usługi kryptowalutowe, takich jak kradzież danych logowania i przechwytywanie wiadomości SMS. Szkodliwe możliwości Nexusa sprawiają, że jest to wyrafinowany i niebezpieczny trojan bankowy, który może wyrządzić swoim ofiarom znaczne szkody finansowe. Nexus został zaprojektowany specjalnie do atakowania urządzeń z Androidem.

Nexus Banking Trojan jest oferowany jako usługi subskrypcyjne

Odkryto, że Nexus Banking Trojan jest oferowany do sprzedaży na różnych forach hakerskich za 3000 USD miesięcznie jako program MaaS (Malware-as-a-Service). Istnieją jednak dowody sugerujące, że trojan mógł być już wykorzystywany w rzeczywistych atakach już w czerwcu 2022 r., co najmniej sześć miesięcy przed jego oficjalnym ogłoszeniem na portalach Darknet.

Według ich własnego kanału Telegram, autorzy szkodliwego oprogramowania potwierdzili, że większość infekcji Nexusa została zgłoszona w Turcji. Co więcej, stwierdzono, że zagrożenie złośliwym oprogramowaniem nakłada się na innego trojana bankowego o nazwie SOVA, który w rzeczywistości ponownie wykorzystuje części swojego kodu źródłowego. Trojan Nexus zawiera również moduł ransomware, który wydaje się być aktywnie rozwijany.

Co ciekawe, autorzy Nexusa ustanowili wyraźne zasady zabraniające używania ich szkodliwego oprogramowania w kilku krajach, w tym w Azerbejdżanie, Armenii, Białorusi, Kazachstanie, Kirgistanie, Mołdawii, Rosji, Tadżykistanie, Uzbekistanie, Ukrainie i Indonezji.

Obszerna lista zagrożeń znalezionych w trojanie bankowym Nexus

Nexus jest specjalnie zaprojektowany do uzyskiwania nieautoryzowanego dostępu do kont bankowych i kont kryptowalutowych użytkowników poprzez zastosowanie różnych technik, takich jak ataki nakładkowe i rejestrowanie klawiszy. Za pomocą tych metod malware kradnie dane logowania użytkowników i inne poufne informacje.

Oprócz tych taktyk, złośliwe oprogramowanie ma możliwość odczytywania kodów uwierzytelniania dwuskładnikowego (2FA), zarówno z wiadomości SMS, jak i aplikacji Google Authenticator. Jest to możliwe dzięki wykorzystaniu usług ułatwień dostępu w systemie Android.

Ponadto szkodliwe oprogramowanie zostało wzbogacone o nowe funkcjonalności, takie jak możliwość usuwania otrzymanych wiadomości SMS, aktywacji lub dezaktywacji modułu kradzieży 2FA oraz samoaktualizacji poprzez okresową komunikację z serwerem dowodzenia i kontroli (C2). Te nowe funkcje sprawiają, że złośliwe oprogramowanie jest jeszcze bardziej niebezpieczne i trudne do wykrycia.