Nexus Android Troian

Un troian bancar Android emergent, cunoscut sub numele de „Nexus”, a fost deja adăugat la instrumentele rău intenționate ale mai multor actori de amenințări. Infractorii cibernetici au folosit amenințarea pentru a viza aproximativ 450 de aplicații financiare și pentru a desfășura activități frauduloase.

Potrivit securității cibernetice italiene, care a publicat un raport despre amenințare, Nexus pare să fie în stadiile incipiente de dezvoltare. Cu toate acestea, troianul oferă toate caracteristicile necesare pentru a desfășura atacuri de preluare a contului (ATO) împotriva portalurilor bancare și a serviciilor criptomonede, cum ar fi furtul acreditărilor de conectare și interceptarea mesajelor SMS. Capacitățile rău intenționate ale Nexus îl fac un troian bancar sofisticat și periculos, care poate provoca daune financiare semnificative victimelor sale. Nexus este conceput special pentru a compromite dispozitivele Android.

Troianul Nexus Banking este oferit ca servicii de abonament

S-a descoperit că troianul Nexus Banking este pus la vânzare pe diverse forumuri de hacking pentru 3.000 USD pe lună ca schemă MaaS (Malware-as-a-Service). Cu toate acestea, există dovezi care sugerează că troianul ar fi fost deja implementat în atacuri din lumea reală încă din iunie 2022, cu cel puțin șase luni înainte de anunțul său oficial pe portalurile darknet.

Autorii de malware au confirmat că majoritatea infecțiilor cu Nexus au fost raportate în Turcia, potrivit propriului canal Telegram. Mai mult, s-a descoperit că amenințarea malware se suprapune cu un alt troian bancar numit SOVA, reutilizand de fapt părți din codul său sursă. Troianul Nexus conține, de asemenea, un modul ransomware care pare a fi dezvoltat în mod activ.

Interesant este că autorii lui Nexus au stabilit reguli explicite care interzic utilizarea programelor lor malware în mai multe țări, inclusiv Azerbaidjan, Armenia, Belarus, Kazahstan, Kârgâzstan, Moldova, Rusia, Tadjikistan, Uzbekistan, Ucraina și Indonezia.

Lista extinsă a capabilităților amenințătoare găsite în troianul Nexus Banking

Nexus este conceput special pentru a obține acces neautorizat la conturile bancare și criptomonede ale utilizatorilor prin utilizarea diferitelor tehnici, cum ar fi atacurile prin suprapunere și înregistrarea tastelor. Prin aceste metode, malware-ul fură acreditările de conectare ale utilizatorilor și alte informații sensibile.

Pe lângă aceste tactici, malware-ul are capacitatea de a citi coduri de autentificare cu doi factori (2FA), atât din mesajele SMS, cât și din aplicația Google Authenticator. Acest lucru este posibil prin exploatarea serviciilor de accesibilitate în Android.

Mai mult, malware-ul a fost îmbunătățit cu noi funcționalități, cum ar fi capacitatea de a elimina mesajele SMS primite, de a activa sau dezactiva modulul de furt 2FA și de a se actualiza prin comunicarea periodică cu un server de comandă și control (C2). Aceste noi funcții fac malware-ul și mai periculos și mai greu de detectat.