Trojanec za Android Nexus

Nastajajoči bančni trojanec Android, znan kot 'Nexus', je bil že dodan zlonamernim orodjem več akterjev groženj. Kibernetski kriminalci so grožnjo uporabili za ciljanje na približno 450 finančnih aplikacij in izvajanje goljufivih dejavnosti.

Po mnenju italijanske kibernetske varnosti, ki je objavila poročilo o grožnji, se zdi, da je Nexus v zgodnji fazi razvoja. Vendar pa trojanec ponuja vse potrebne funkcije za izvajanje napadov s prevzemom računa (ATO) na bančne portale in storitve kriptovalut, kot je kraja poverilnic za prijavo in prestrezanje sporočil SMS. Zaradi zlonamernih zmožnosti je Nexus prefinjen in nevaren bančni trojanec, ki lahko svojim žrtvam povzroči znatno finančno škodo. Nexus je zasnovan posebej za ogrožanje naprav Android.

Bančni trojanec Nexus je na voljo kot naročniška storitev

Ugotovljeno je bilo, da je bančni trojanec Nexus na voljo za prodajo na različnih hekerskih forumih za 3000 USD na mesec kot shema MaaS (Malware-as-a-Service). Vendar pa obstajajo dokazi, ki kažejo, da je bil trojanec morda že uporabljen v napadih v resničnem svetu že junija 2022, vsaj šest mesecev pred njegovo uradno objavo na portalih temnega omrežja.

Avtorji zlonamerne programske opreme so potrdili, da je bila večina okužb z Nexusom zabeležena v Turčiji, glede na njihov kanal Telegram. Poleg tega je bilo ugotovljeno, da se grožnja zlonamerne programske opreme prekriva z drugim bančnim trojancem, imenovanim SOVA, ki dejansko ponovno uporablja dele svoje izvorne kode. Trojanec Nexus vsebuje tudi modul izsiljevalske programske opreme, za katerega se zdi, da se aktivno razvija.

Zanimivo je, da so avtorji Nexusa postavili izrecna pravila, ki prepovedujejo uporabo njihove zlonamerne programske opreme v več državah, vključno z Azerbajdžanom, Armenijo, Belorusijo, Kazahstanom, Kirgizistanom, Moldavijo, Rusijo, Tadžikistanom, Uzbekistanom, Ukrajino in Indonezijo.

Obsežen seznam nevarnih zmogljivosti, ki jih najdemo v bančnem trojancu Nexus

Nexus je posebej zasnovan za pridobitev nepooblaščenega dostopa do bančnih in kriptovalutnih računov uporabnikov z uporabo različnih tehnik, kot so prekrivni napadi in beleženje tipk. S temi metodami zlonamerna programska oprema uporabnikom ukrade poverilnice za prijavo in druge občutljive podatke.

Poleg teh taktik ima zlonamerna programska oprema zmožnost branja kod za dvofaktorsko preverjanje pristnosti (2FA), tako iz sporočil SMS kot iz aplikacije Google Authenticator. To je mogoče z izkoriščanjem storitev dostopnosti v sistemu Android.

Poleg tega je bila zlonamerna programska oprema izboljšana z novimi funkcijami, kot je zmožnost odstranitve prejetih sporočil SMS, aktiviranja ali deaktiviranja modula kraje 2FA in samoposodabljanja z občasnim komuniciranjem s strežnikom za ukaze in nadzor (C2). Zaradi teh novih funkcij je zlonamerna programska oprema še bolj nevarna in jo je težko odkriti.