Android-троянец Nexus

Новый банковский троянец для Android, известный как Nexus, уже был добавлен к вредоносным инструментам нескольких злоумышленников. Киберпреступники использовали эту угрозу, чтобы атаковать около 450 финансовых приложений и осуществлять мошеннические действия.

Согласно итальянской кибербезопасности, опубликовавшей отчет об угрозе, Nexus, похоже, находится на ранней стадии разработки. Тем не менее, троянец предоставляет все необходимые функции для проведения атак с захватом учетной записи (ATO) против банковских порталов и криптовалютных сервисов, таких как кража учетных данных для входа и перехват SMS-сообщений. Вредоносные возможности Nexus делают его изощренным и опасным банковским трояном, способным нанести значительный финансовый ущерб своим жертвам. Nexus разработан специально для взлома устройств Android.

Банковский троянец Nexus предлагается в качестве услуги по подписке

Было обнаружено, что банковский троянец Nexus продается на различных хакерских форумах за 3000 долларов в месяц по схеме MaaS (Malware-as-a-Service). Однако есть доказательства того, что троян, возможно, уже использовался в реальных атаках еще в июне 2022 года, по крайней мере, за шесть месяцев до его официального объявления на порталах даркнета.

Авторы вредоносных программ подтвердили, что большинство заражений Nexus было зарегистрировано в Турции, согласно их собственному каналу Telegram. Кроме того, было обнаружено, что угроза вредоносного ПО пересекается с другим банковским троянцем под названием SOVA, фактически повторно используя части его исходного кода. Троянец Nexus также содержит модуль программы-вымогателя, который, похоже, активно разрабатывается.

Интересно, что авторы Nexus установили четкие правила, запрещающие использование их вредоносных программ в ряде стран, включая Азербайджан, Армению, Беларусь, Казахстан, Киргизию, Молдову, Россию, Таджикистан, Узбекистан, Украину и Индонезию.

Расширенный список угрожающих возможностей банковского трояна Nexus

Nexus специально разработан для получения несанкционированного доступа к банковским и криптовалютным учетным записям пользователей с использованием различных методов, таких как оверлейные атаки и кейлоггинг. С помощью этих методов вредоносное ПО крадет учетные данные пользователей и другую конфиденциальную информацию.

В дополнение к этой тактике вредоносное ПО имеет возможность считывать коды двухфакторной аутентификации (2FA) как из SMS-сообщений, так и из приложения Google Authenticator. Это стало возможным благодаря использованию специальных возможностей в Android.

Кроме того, вредоносное ПО было дополнено новыми функциями, такими как возможность удалять полученные SMS-сообщения, активировать или деактивировать модуль кражи 2FA и обновлять себя, периодически связываясь с командно-контрольным (C2) сервером. Эти новые функции делают вредоносные программы еще более опасными и трудными для обнаружения.