Trojan Nexus Banking

Trójsky kôň Nexus je typ mobilného malvéru, ktorý sa zameriava na operačné systémy Android. Hrozba je v podstate prerobenou verziou predtým identifikovaného a sledovaného bankového trójskeho koňa SOVA. Jeho primárnym cieľom je ukradnúť bankové a finančné informácie z infikovaných zariadení svojich obetí. Má však aj rôzne škodlivé funkcie, ktoré z neho robia významnejšiu hrozbu.

Nexus môže vykonávať akcie, ako je krádež prihlasovacích údajov pre iné aplikácie, nahrávanie zvuku a vytváranie snímok obrazovky. Tento typ malvéru môže vykonávať aj funkcie spywaru, ako je prístup ku kontaktom, správam a iným citlivým informáciám uloženým v zariadení. Ako taký predstavuje významnú hrozbu pre osobné súkromie aj kybernetickú bezpečnosť. Podrobnosti o bankovom trojane Nexus Android zverejnili výskumníci z Cyble.

Nexus Banking Trojan zbiera citlivé informácie z infikovaných zariadení

Malvér Nexus získava kontrolu nad zariadeniami používateľov zneužívaním služieb dostupnosti systému Android. Táto legitímna funkcia je určená na to, aby používateľom pomohla jednoduchšie ovládať ich zariadenia simuláciou kliknutí, čítaním zobrazeného textu atď. Keď malvér prenikne do zariadenia (zvyčajne sa maskuje ako legitímna aplikácia), požiada používateľov, aby povolili služby dostupnosti, ktoré môžu interagovať so strojom rôznymi spôsobmi.

Po získaní kontroly nad službami dostupnosti môže Nexus zvýšiť svoje privilégiá a udeliť si ďalšie povolenia vrátane možnosti zabrániť používateľom deaktivovať služby dostupnosti a deaktivovať Google Play Protect a ďalšie opatrenia na zabezpečenie hesla.

Nexus zhromažďuje rôzne informácie o zariadení vrátane modelu telefónu, verzie operačného systému, IMEI, stavu batérie, adresy IP (geolokácie), ID karty SIM, telefónneho čísla a údajov o mobilnej sieti. Malvér sa špecificky zameriava na viac ako štyridsať populárnych bankových aplikácií, pričom kontroluje zoznam aplikácií nainštalovaných v zariadení a sťahuje príslušný HTML kód pre každú bankovú aplikáciu. Tento kód vytvorí falošné prekrytie, ktoré sa spustí, keď používateľ interaguje s legitímnou bankovou aplikáciou, a vyzve používateľa, aby zadal svoje prihlasovacie údaje.

Keď používateľ zadá svoje prihlasovacie údaje, malvér ich odošle útočníkom, čím im poskytne prístup k bankovému účtu používateľa. Keďže malvér dokáže zabrániť používateľovi v zakázaní služieb dostupnosti, môže pokračovať v zhromažďovaní citlivých informácií a kompromitovať zariadenie používateľa.

Trojan Nexus Banking získava kontrolu nad narušenými zariadeniami

Trójsky kôň Nexus je škodlivý softvér, ktorý má rôzne funkcie, ktoré mu pomáhajú získať kontrolu nad citlivým obsahom, najmä bankovými účtami. Jednou z jeho kľúčových schopností je schopnosť zaznamenávať stlačenia klávesov (keylogging), ktoré možno použiť na zachytenie prihlasovacích údajov a iných citlivých informácií.

Okrem toho môže Nexus spravovať aj SMS správy, hovory a upozornenia. Dokáže čítať, zachytávať, skrývať, mazať a dokonca posielať textové správy na konkrétne čísla alebo všetky kontakty. To mu umožňuje získať jednorazové heslo a 2FA/MFA odoslané prostredníctvom textových správ, ako aj informácie z aplikácie Google Authenticator.

Nexus môže tiež uskutočňovať tajné telefónne hovory a presmerovať ich, ako aj meniť kontaktné informácie. To znamená, že by sa mohol použiť na malvér Toll Fraud. Dokáže posielať správy všetkým kontaktom, čo by mohlo viesť k množeniu spamových SMS správ.

Okrem toho môže trójsky kôň spravovať upozornenia čítaním, zachytávaním, skrývaním a dokonca zobrazovaním falošných. Môže tiež kontrolovať spustené procesy, mazať programy, otvárať aplikácie, zamykať/odomykať zariadenie, stlmiť/zrušiť zvuk, otvárať adresy URL cez prehliadače, zobrazovať falošné prekrytia systémových upozornení, získavať zoznamy používateľských účtov a získavať prihlasovacie údaje a zostatky pre kryptomenové peňaženky.

Nexus môže tiež čítať a odstraňovať súbory z pripojeného externého úložiska, čo by sa mohlo použiť na spôsobenie reťazových infekcií vložením ďalšieho škodlivého obsahu do zariadení. Aj keď sa v súčasnosti zdá, že sa používa predovšetkým na získanie balíkov HTML injekcie pre bankové aplikácie, potenciálne by sa mohol zmeniť tak, aby infikoval zariadenia ďalším škodlivým softvérom, ako je napríklad ransomware.