Troian Nexus Banking

Troianul bancar Nexus este un tip de malware mobil care vizează sistemele de operare Android. Amenințarea este în esență o versiune rebranded a troianului bancar SOVA identificat și urmărit anterior. Obiectivul său principal este de a fura informații bancare și financiare de pe dispozitivele infectate ale victimelor sale. Cu toate acestea, are și diverse caracteristici rău intenționate care îl fac o amenințare mai semnificativă.

Nexus poate efectua acțiuni precum furtul acreditărilor de conectare pentru alte aplicații, înregistrarea audio și realizarea de capturi de ecran. Acest tip de malware poate efectua, de asemenea, funcții spyware, cum ar fi accesarea contactelor, mesajelor și a altor informații sensibile stocate pe dispozitiv. Ca atare, reprezintă o amenințare semnificativă atât pentru confidențialitatea personală, cât și pentru securitatea cibernetică. Detalii despre troianul bancar Nexus Android au fost făcute publice de către cercetătorii de la Cyble.

Troianul Nexus Banking recoltează informații sensibile de pe dispozitivele infectate

Programul malware Nexus câștigă controlul asupra dispozitivelor utilizatorilor prin abuzul de Servicii de accesibilitate Android. Această caracteristică legitimă este concepută ca o modalitate de a ajuta utilizatorii să-și opereze mai ușor dispozitivele prin simularea clicurilor, citirea textului afișat etc. Odată ce malware-ul se infiltrează într-un dispozitiv (deghizat de obicei în aplicație legitimă), le solicită utilizatorilor să activeze Serviciile de accesibilitate, care poate interacționa cu mașina în diverse moduri.

După ce a obținut controlul asupra Serviciilor de accesibilitate, Nexus își poate escalada privilegiile și își poate acorda permisiuni suplimentare, inclusiv capacitatea de a împiedica utilizatorii să dezactiveze Serviciile de accesibilitate și să dezactiveze Google Play Protect și alte măsuri de securitate prin parolă.

Nexus colectează diverse informații despre dispozitiv, inclusiv modelul telefonului, versiunea sistemului de operare, IMEI, starea bateriei, adresa IP (geolocalizare), ID-ul cartelei SIM, numărul de telefon și datele rețelei mobile. Malware-ul vizează în mod specific peste patruzeci de aplicații bancare populare, verificând lista de aplicații instalate pe dispozitiv și descarcând codul de injectare HTML corespunzător pentru fiecare aplicație bancară. Acest cod creează o suprapunere falsă, care este declanșată atunci când utilizatorul interacționează cu aplicația bancară legitimă și îi solicită utilizatorului să introducă datele de conectare.

Odată ce utilizatorul introduce datele de conectare, malware-ul le trimite atacatorilor, oferindu-le acces la contul bancar al utilizatorului. Deoarece malware-ul poate împiedica utilizatorul să dezactiveze serviciile de accesibilitate, poate continua să colecteze informații sensibile și să compromită dispozitivul utilizatorului.

Troianul Nexus Banking câștigă controlul asupra dispozitivelor încălcate

Troianul Nexus este un software rău intenționat care are diverse funcționalități care îl ajută să obțină controlul asupra conținutului sensibil, în special asupra conturilor bancare. Una dintre abilitățile sale cheie este abilitatea de a înregistra apăsările de taste (keylogging) care pot fi folosite pentru a captura acreditările de conectare și alte informații sensibile.

În plus, Nexus poate gestiona și mesajele SMS, apelurile și notificările. Poate citi, intercepta, ascunde, șterge și chiar trimite mesaje text către anumite numere sau la toate contactele. Acest lucru îi permite să obțină OTP-uri și 2FA-uri/MFA-uri trimise prin mesaje text, precum și informații de la Google Authenticator.

Nexus poate, de asemenea, să efectueze apeluri telefonice ascunse și să le redirecționeze, precum și să modifice informațiile de contact. Aceasta înseamnă că ar putea fi folosit pentru malware Toll Fraud. Poate trimite mesaje tuturor persoanelor de contact, ceea ce ar putea duce la proliferarea mesajelor SMS spam.

În plus, troianul poate gestiona notificările citind, interceptând, ascunzându-le și chiar arătând cele false. De asemenea, poate verifica procesele care rulează, șterge programe, deschide aplicații, bloca/deblochează dispozitivul, dezactiva/dezactiva sunetul, deschide adrese URL prin browsere, afișează suprapuneri false de alerte de sistem, obține liste de conturi de utilizator și obține acreditări și solduri de conectare pentru portofelele criptomonede.

De asemenea, Nexus poate citi și șterge fișiere din stocarea externă conectată, care ar putea fi folosite pentru a provoca infecții în lanț prin injectarea de conținut rău intenționat suplimentar în dispozitive. Deși în prezent, pare să fie folosit în principal pentru a obține pachete de injecție HTML pentru aplicații bancare, ar putea fi modificat pentru a infecta dispozitivele cu programe malware suplimentare, cum ar fi ransomware.