Nexus Android Trojan

Vznikajúci trójsky kôň Android banking známy ako „Nexus“ už bol pridaný do škodlivých nástrojov niekoľkých aktérov hrozieb. Kyberzločinci využili hrozbu na zacielenie približne 450 finančných aplikácií a na podvodné aktivity.

Podľa talianskej kybernetickej bezpečnosti, ktorá vydala správu o hrozbe, sa zdá, že Nexus je v ranom štádiu vývoja. Trojan však poskytuje všetky potrebné funkcie na vykonávanie útokov na prevzatie účtu (ATO) proti bankovým portálom a kryptomenovým službám, ako je krádež prihlasovacích údajov a zachytenie SMS správ. Škodlivé schopnosti Nexusu z neho robia sofistikovaný a nebezpečný bankový trójsky kôň, ktorý môže svojim obetiam spôsobiť značné finančné škody. Nexus je navrhnutý špeciálne na kompromitovanie zariadení so systémom Android.

Trojan Nexus Banking je ponúkaný ako predplatiteľská služba

Zistilo sa, že trójsky kôň Nexus Banking sa ponúka na predaj na rôznych hackerských fórach za 3 000 dolárov mesačne ako schéma MaaS (Malware-as-a-Service). Existujú však dôkazy, ktoré naznačujú, že trójsky kôň už mohol byť nasadený v skutočných útokoch už v júni 2022, najmenej šesť mesiacov pred jeho oficiálnym oznámením na portáloch darknet.

Autori škodlivého softvéru potvrdili, že väčšina infekcií Nexus bola hlásená v Turecku, podľa ich vlastného kanála Telegram. Okrem toho sa zistilo, že hrozba škodlivého softvéru sa prekrýva s iným bankovým trójskym koňom s názvom SOVA, ktorý v skutočnosti opätovne používa časti svojho zdrojového kódu. Trojan Nexus obsahuje aj modul ransomvéru, ktorý sa podľa všetkého aktívne vyvíja.

Zaujímavé je, že autori Nexusu stanovili explicitné pravidlá zakazujúce používanie ich malvéru vo viacerých krajinách vrátane Azerbajdžanu, Arménska, Bieloruska, Kazachstanu, Kirgizska, Moldavska, Ruska, Tadžikistanu, Uzbekistanu, Ukrajiny a Indonézie.

Rozsiahly zoznam hrozivých schopností nájdených v Nexus Banking Trojan

Nexus je špeciálne navrhnutý tak, aby získal neoprávnený prístup k bankovým a kryptomenovým účtom používateľov pomocou rôznych techník, ako sú prekryvné útoky a keylogging. Prostredníctvom týchto metód malvér kradne prihlasovacie údaje používateľov a ďalšie citlivé informácie.

Okrem týchto taktík má malvér schopnosť čítať kódy dvojfaktorovej autentifikácie (2FA) zo správ SMS aj z aplikácie Google Authenticator. Je to možné vďaka využívaniu služieb dostupnosti v systéme Android.

Okrem toho bol malvér vylepšený o nové funkcie, ako je schopnosť odstraňovať prijaté SMS správy, aktivovať alebo deaktivovať modul 2FA zlodeja a aktualizovať sa pravidelnou komunikáciou s príkazovým a riadiacim (C2) serverom. Vďaka týmto novým funkciám je malvér ešte nebezpečnejší a ťažšie odhaliteľný.