Nexus bančni trojanec

Bančni trojanec Nexus je vrsta mobilne zlonamerne programske opreme, ki cilja na operacijske sisteme Android. Grožnja je v bistvu preimenovana različica predhodno identificiranega in sledenega bančnega trojanca SOVA. Njegov glavni cilj je ukrasti bančne in finančne podatke iz okuženih naprav svojih žrtev. Vendar pa ima tudi različne zlonamerne funkcije, zaradi katerih je večja grožnja.

Nexus lahko izvaja dejanja, kot je kraja poverilnic za prijavo v druge aplikacije, snemanje zvoka in snemanje posnetkov zaslona. Ta vrsta zlonamerne programske opreme lahko izvaja tudi funkcije vohunske programske opreme, kot je dostop do stikov, sporočil in drugih občutljivih informacij, shranjenih v napravi. Kot tak predstavlja veliko grožnjo osebni zasebnosti in kibernetski varnosti. Podrobnosti o bančnem trojancu Nexus Android so v javnost objavili raziskovalci pri Cybleu.

Bančni trojanec Nexus zbira občutljive podatke iz okuženih naprav

Zlonamerna programska oprema Nexus pridobi nadzor nad napravami uporabnikov z zlorabo storitev Android Accessibility Services. Ta zakonita funkcija je mišljena kot način za pomoč uporabnikom pri lažjem upravljanju njihovih naprav s simulacijo klikov, branjem prikazanega besedila itd. Ko se zlonamerna programska oprema infiltrira v napravo (običajno prikrita kot zakonita aplikacija), od uporabnikov zahteva, da omogočijo storitve dostopnosti, ki lahko na različne načine sodeluje s strojem.

Ko pridobi nadzor nad storitvami za ljudi s posebnimi potrebami, lahko Nexus poveča svoje privilegije in si podeli dodatna dovoljenja, vključno z možnostjo, da uporabnikom prepreči onemogočanje storitev za ljudi s posebnimi potrebami ter deaktivira zaščito Google Play in druge varnostne ukrepe z geslom.

Nexus zbira različne informacije o napravi, vključno z modelom telefona, različico OS, IMEI, stanjem baterije, naslovom IP (geolokacijo), ID-jem kartice SIM, telefonsko številko in podatki o mobilnem omrežju. Zlonamerna programska oprema posebej cilja na več kot štirideset priljubljenih bančnih aplikacij, preverja seznam aplikacij, nameščenih v napravi, in prenaša ustrezno kodo za vstavljanje HTML za vsako bančno aplikacijo. Ta koda ustvari lažno prekrivanje, ki se sproži, ko uporabnik komunicira z zakonito bančno aplikacijo, in od uporabnika zahteva, da vnese svoje poverilnice za prijavo.

Ko uporabnik vnese svoje poverilnice za prijavo, jih zlonamerna programska oprema pošlje napadalcem in jim omogoči dostop do bančnega računa uporabnika. Ker lahko zlonamerna programska oprema uporabniku prepreči onemogočanje storitev dostopnosti, lahko še naprej zbira občutljive podatke in ogrozi uporabnikovo napravo.

Bančni trojanec Nexus pridobi nadzor nad vdretimi napravami

Trojanec Nexus je zlonamerna programska oprema, ki ima različne funkcije, ki mu pomagajo pridobiti nadzor nad občutljivo vsebino, zlasti nad bančnimi računi. Ena njegovih ključnih zmožnosti je zmožnost snemanja pritiskov tipk (keylogging), ki se lahko uporabi za zajemanje poverilnic za prijavo in drugih občutljivih informacij.

Poleg tega lahko Nexus upravlja tudi sporočila SMS, klice in obvestila. Lahko bere, prestreže, skrije, izbriše in celo pošlje besedilna sporočila določenim številkam ali vsem stikom. To mu omogoča pridobivanje OTP-jev in 2FA-jev/MFA-jev, poslanih prek besedilnih sporočil, ter informacij iz Google Authenticatorja.

Nexus lahko tudi opravlja prikrite telefonske klice in jih posreduje ter spreminja kontaktne podatke. To pomeni, da se lahko uporablja za zlonamerno programsko opremo Toll Fraud. Lahko pošilja sporočila vsem stikom, kar lahko povzroči širjenje neželenih sporočil SMS.

Poleg tega lahko trojanec upravlja obvestila z branjem, prestrezanjem, skrivanjem in celo prikazovanjem lažnih. Prav tako lahko preveri zagnane procese, izbriše programe, odpre aplikacije, zaklene/odklene napravo, izklopi/vklopi zvok, odpre URL-je prek brskalnikov, prikaže lažne prekrivne sistemske opozorila, pridobi sezname uporabniških računov ter pridobi poverilnice za prijavo in stanja za denarnice s kriptovalutami.

Nexus lahko tudi bere in briše datoteke iz povezanega zunanjega pomnilnika, kar se lahko uporabi za povzročitev verižnih okužb z vbrizgavanjem dodatne zlonamerne vsebine v naprave. Čeprav se zdi, da se trenutno uporablja predvsem za pridobivanje paketov za vbrizgavanje HTML za bančne aplikacije, bi ga lahko potencialno spremenili za okužbo naprav z dodatno zlonamerno programsko opremo, kot je izsiljevalska programska oprema.