Nexus Android Trojan

Një Trojan bankar Android në zhvillim i njohur si 'Nexus' është shtuar tashmë në veglat me qëllim të keq të disa aktorëve të kërcënimit. Kriminelët kibernetikë kanë përdorur kërcënimin për të synuar rreth 450 aplikacione financiare dhe për të kryer aktivitete mashtruese.

Sipas sigurisë kibernetike italiane që publikoi një raport mbi kërcënimin, Nexus duket se është në fazat e hershme të zhvillimit. Sidoqoftë, Trojan ofron të gjitha veçoritë e nevojshme për të kryer sulme të marrjes së llogarisë (ATO) kundër portaleve bankare dhe shërbimeve të kriptomonedhave, të tilla si vjedhja e kredencialeve të hyrjes dhe përgjimi i mesazheve SMS. Aftësitë dashakeqe të Nexus e bëjnë atë një trojan bankar të sofistikuar dhe të rrezikshëm që mund të shkaktojë dëme të konsiderueshme financiare për viktimat e tij. Nexus është krijuar posaçërisht për të komprometuar pajisjet Android.

Nexus Banking Trojan ofrohet si një shërbim abonimi

Trojan Nexus Banking u zbulua se ofrohej për shitje në forume të ndryshme hakerimi për 3000 dollarë në muaj si skema MaaS (Malware-as-a-Service). Megjithatë, ka prova që sugjerojnë se trojani mund të jetë vendosur tashmë në sulme të botës reale që në qershor 2022, të paktën gjashtë muaj përpara shpalljes së tij zyrtare në portalet darknet.

Autorët e malware kanë konfirmuar se shumica e infeksioneve të Nexus janë raportuar në Turqi, sipas kanalit të tyre Telegram. Për më tepër, kërcënimi i malware është gjetur se mbivendoset me një tjetër Trojan bankar të quajtur SOVA, duke ripërdorur në fakt pjesë të kodit të tij burimor. Nexus Trojan përmban gjithashtu një modul ransomware që duket se është zhvilluar në mënyrë aktive.

Është interesante se autorët e Nexus kanë vendosur rregulla të qarta që ndalojnë përdorimin e malware të tyre në disa vende, duke përfshirë Azerbajxhanin, Armeninë, Bjellorusinë, Kazakistanin, Kirgistanin, Moldavinë, Rusinë, Taxhikistanin, Uzbekistanin, Ukrainën dhe Indonezinë.

Lista e zgjeruar e aftësive kërcënuese të gjetura në Nexus Banking Trojan

Nexus është krijuar posaçërisht për të fituar akses të paautorizuar në llogaritë bankare dhe të kriptomonedhave të përdoruesve duke përdorur teknika të ndryshme si sulmet e mbivendosjes dhe regjistrimet e çelësave. Nëpërmjet këtyre metodave, malware vjedh kredencialet e hyrjes së përdoruesve dhe informacione të tjera të ndjeshme.

Përveç këtyre taktikave, malware ka aftësinë për të lexuar kodet e vërtetimit me dy faktorë (2FA), si nga mesazhet SMS ashtu edhe nga aplikacioni Google Authenticator. Kjo është bërë e mundur përmes shfrytëzimit të shërbimeve të aksesueshmërisë në Android.

Për më tepër, malware është përmirësuar me funksione të reja, të tilla si aftësia për të hequr mesazhet SMS të marra, për të aktivizuar ose çaktivizuar modulin e vjedhësit 2FA dhe për të përditësuar veten duke komunikuar periodikisht me një server komandimi dhe kontrolli (C2). Këto veçori të reja e bëjnë malware edhe më të rrezikshëm dhe të vështirë për t'u zbuluar.