Android-троянец Nexus
Новый банковский троянец для Android, известный как Nexus, уже был добавлен к вредоносным инструментам нескольких злоумышленников. Киберпреступники использовали эту угрозу, чтобы атаковать около 450 финансовых приложений и осуществлять мошеннические действия.
Согласно итальянской кибербезопасности, опубликовавшей отчет об угрозе, Nexus, похоже, находится на ранней стадии разработки. Тем не менее, троянец предоставляет все необходимые функции для проведения атак с захватом учетной записи (ATO) против банковских порталов и криптовалютных сервисов, таких как кража учетных данных для входа и перехват SMS-сообщений. Вредоносные возможности Nexus делают его изощренным и опасным банковским трояном, способным нанести значительный финансовый ущерб своим жертвам. Nexus разработан специально для взлома устройств Android.
Банковский троянец Nexus предлагается в качестве услуги по подписке
Было обнаружено, что банковский троянец Nexus продается на различных хакерских форумах за 3000 долларов в месяц по схеме MaaS (Malware-as-a-Service). Однако есть доказательства того, что троян, возможно, уже использовался в реальных атаках еще в июне 2022 года, по крайней мере, за шесть месяцев до его официального объявления на порталах даркнета.
Авторы вредоносных программ подтвердили, что большинство заражений Nexus было зарегистрировано в Турции, согласно их собственному каналу Telegram. Кроме того, было обнаружено, что угроза вредоносного ПО пересекается с другим банковским троянцем под названием SOVA, фактически повторно используя части его исходного кода. Троянец Nexus также содержит модуль программы-вымогателя, который, похоже, активно разрабатывается.
Интересно, что авторы Nexus установили четкие правила, запрещающие использование их вредоносных программ в ряде стран, включая Азербайджан, Армению, Беларусь, Казахстан, Киргизию, Молдову, Россию, Таджикистан, Узбекистан, Украину и Индонезию.
Расширенный список угрожающих возможностей банковского трояна Nexus
Nexus специально разработан для получения несанкционированного доступа к банковским и криптовалютным учетным записям пользователей с использованием различных методов, таких как оверлейные атаки и кейлоггинг. С помощью этих методов вредоносное ПО крадет учетные данные пользователей и другую конфиденциальную информацию.
В дополнение к этой тактике вредоносное ПО имеет возможность считывать коды двухфакторной аутентификации (2FA) как из SMS-сообщений, так и из приложения Google Authenticator. Это стало возможным благодаря использованию специальных возможностей в Android.
Кроме того, вредоносное ПО было дополнено новыми функциями, такими как возможность удалять полученные SMS-сообщения, активировать или деактивировать модуль кражи 2FA и обновлять себя, периодически связываясь с командно-контрольным (C2) сервером. Эти новые функции делают вредоносные программы еще более опасными и трудными для обнаружения.