Банковский троянец Nexus

Банковский троян Nexus — это тип мобильного вредоносного ПО, нацеленного на операционные системы Android. По сути, эта угроза представляет собой переименованную версию ранее идентифицированного и отслеживаемого банковского трояна SOVA. Его основной целью является кража банковской и финансовой информации с зараженных устройств своих жертв. Однако он также имеет различные вредоносные функции, которые делают его более серьезной угрозой.

Nexus может выполнять такие действия, как кража учетных данных для входа в другие приложения, запись звука и создание снимков экрана. Этот тип вредоносного ПО также может выполнять шпионские функции, такие как доступ к контактам, сообщениям и другой конфиденциальной информации, хранящейся на устройстве. Таким образом, он представляет серьезную угрозу как для личной конфиденциальности, так и для кибербезопасности. Подробности о банковском трояне Nexus для Android были обнародованы исследователями Cyble.

Банковский троянец Nexus собирает конфиденциальную информацию с зараженных устройств

Вредоносное ПО Nexus получает контроль над устройствами пользователей, злоупотребляя службами специальных возможностей Android. Эта законная функция предназначена для того, чтобы помочь пользователям более легко управлять своими устройствами путем имитации кликов, чтения отображаемого текста и т. д. Как только вредоносное ПО проникает на устройство (обычно замаскированное под законное приложение), оно запрашивает у пользователей включить службы специальных возможностей, которые могут взаимодействовать с машиной различными способами.

Получив контроль над службами специальных возможностей, Nexus может повысить свои привилегии и предоставить себе дополнительные разрешения, в том числе возможность запретить пользователям отключать службы специальных возможностей и деактивировать Google Play Protect и другие меры безопасности паролей.

Nexus собирает различную информацию об устройстве, включая модель телефона, версию ОС, IMEI, состояние батареи, IP-адрес (геолокацию), идентификатор SIM-карты, номер телефона и данные мобильной сети. Вредоносная программа специально нацелена на более чем сорок популярных банковских приложений, проверяя список приложений, установленных на устройстве, и загружая соответствующий код HTML-инъекции для каждого банковского приложения. Этот код создает фальшивое наложение, которое срабатывает, когда пользователь взаимодействует с законным банковским приложением, и предлагает пользователю ввести свои учетные данные для входа.

Как только пользователь вводит свои учетные данные для входа, вредоносное ПО отправляет их злоумышленникам, предоставляя им доступ к банковскому счету пользователя. Поскольку вредоносное ПО может помешать пользователю отключить службы специальных возможностей, оно может продолжать собирать конфиденциальную информацию и подвергать риску устройство пользователя.

Банковский троянец Nexus получает контроль над взломанными устройствами

Троян Nexus — это вредоносное программное обеспечение, обладающее различными функциями, помогающими ему получить контроль над конфиденциальным содержимым, особенно банковскими счетами. Одной из его ключевых возможностей является возможность записи нажатий клавиш (кейлоггинг), которые можно использовать для сбора учетных данных для входа и другой конфиденциальной информации.

Кроме того, Nexus также может управлять SMS-сообщениями, звонками и уведомлениями. Он может читать, перехватывать, скрывать, удалять и даже отправлять текстовые сообщения на определенные номера или всем контактам. Это позволяет ему получать OTP и 2FA/MFA, отправленные с помощью текстовых сообщений, а также информацию из Google Authenticator.

Nexus также может совершать скрытые телефонные звонки и переадресовывать их, а также изменять контактную информацию. Это означает, что его можно использовать для вредоносных программ Toll Fraud. Он может рассылать сообщения всем контактам, что может привести к распространению спам-СМС-сообщений.

Кроме того, троянец может управлять уведомлениями, читая, перехватывая, скрывая и даже показывая поддельные. Он также может проверять запущенные процессы, удалять программы, открывать приложения, блокировать/разблокировать устройство, отключать/включать звук, открывать URL-адреса через браузеры, показывать фальшивые наложения системных предупреждений, получать списки учетных записей пользователей и получать учетные данные для входа и балансы для криптовалютных кошельков.

Nexus также может читать и удалять файлы из подключенного внешнего хранилища, которые могут использоваться для запуска цепных заражений путем внедрения дополнительного вредоносного контента в устройства. Хотя в настоящее время он, по-видимому, используется в основном для получения пакетов HTML-инъекций для банковских приложений, потенциально его можно изменить для заражения устройств дополнительными вредоносными программами, такими как программы-вымогатели.