Nexus Banking Trojan

Trojani bankar Nexus është një lloj malware celular që synon Sistemet Operative Android. Kërcënimi është në thelb një version i riemërtuar i trojanit bankar SOVA të identifikuar dhe gjurmuar më parë. Objektivi i tij kryesor është të vjedhë informacionin bankar dhe financiar nga pajisjet e infektuara të viktimave të tij. Megjithatë, ai gjithashtu ka karakteristika të ndryshme keqdashëse që e bëjnë atë një kërcënim më të rëndësishëm.

Nexus mund të kryejë veprime të tilla si vjedhja e kredencialeve të hyrjes për aplikacione të tjera, regjistrimi i audios dhe marrja e pamjeve të ekranit. Ky lloj malware mund të kryejë gjithashtu funksione spyware si qasja në kontakte, mesazhe dhe informacione të tjera të ndjeshme të ruajtura në pajisje. Si i tillë, ai përbën një kërcënim të rëndësishëm si për privatësinë personale ashtu edhe për sigurinë kibernetike. Detaje rreth trojanit bankar Nexus Android u publikuan nga studiuesit në Cyble.

Trojan Nexus Banking mbledh informacione të ndjeshme nga pajisjet e infektuara

Malware Nexus fiton kontrollin mbi pajisjet e përdoruesve duke abuzuar me shërbimet e aksesueshmërisë në Android. Ky funksion legjitim synohet si një mënyrë për të ndihmuar përdoruesit në përdorimin më të lehtë të pajisjeve të tyre duke simuluar klikimet, leximin e tekstit të shfaqur, etj. Pasi malware depërton në një pajisje (zakonisht i maskuar si një aplikacion legjitim), ai u kërkon përdoruesve të aktivizojnë Shërbimet e Aksesueshmërisë. të cilat mund të ndërveprojnë me makinën në mënyra të ndryshme.

Pas marrjes së kontrollit mbi Shërbimet e Aksesueshmërisë, Nexus mund të përshkallëzojë privilegjet e tij dhe t'i japë vetes leje shtesë, duke përfshirë aftësinë për të parandaluar përdoruesit të çaktivizojnë Shërbimet e Aksesueshmërisë dhe të çaktivizojë Google Play Protect dhe masa të tjera sigurie me fjalëkalim.

Nexus mbledh informacione të ndryshme të pajisjes, duke përfshirë modelin e telefonit, versionin e OS, IMEI, statusin e baterisë, adresën IP (gjeolokacionin), ID-në e kartës SIM, numrin e telefonit dhe të dhënat e rrjetit celular. Malware synon në mënyrë specifike mbi dyzet aplikacione bankare të njohura, duke kontrolluar listën e aplikacioneve të instaluara në pajisje dhe duke shkarkuar kodin e duhur të injektimit HTML për çdo aplikacion bankar. Ky kod krijon një mbivendosje të rreme, e cila aktivizohet kur përdoruesi ndërvepron me aplikacionin legjitim bankar dhe e kërkon përdoruesin të fusë kredencialet e tij të hyrjes.

Pasi përdoruesi fut kredencialet e tij të hyrjes, malware ua dërgon sulmuesve, duke u dhënë atyre akses në llogarinë bankare të përdoruesit. Meqenëse malware është në gjendje të parandalojë përdoruesin nga çaktivizimi i Shërbimeve të Aksesueshmërisë, ai mund të vazhdojë të mbledhë informacione të ndjeshme dhe të komprometojë pajisjen e përdoruesit.

Nexus Banking Trojan fiton kontrollin e pajisjeve të dëmtuara

Trojan Nexus është një softuer me qëllim të keq që ka funksionalitete të ndryshme që e ndihmojnë atë të marrë kontrollin mbi përmbajtjet e ndjeshme, veçanërisht llogaritë bankare. Një nga aftësitë e tij kryesore është aftësia për të regjistruar goditjet e tasteve (keylogging) e cila mund të përdoret për të kapur kredencialet e hyrjes dhe informacione të tjera të ndjeshme.

Përveç kësaj, Nexus mund të menaxhojë gjithashtu mesazhet SMS, thirrjet dhe njoftimet. Mund të lexojë, përgjojë, fshehë, fshijë dhe madje të dërgojë mesazhe me tekst në numra të caktuar ose në të gjitha kontaktet. Kjo e lejon atë të marrë OTP dhe 2FA/MFA të dërguara përmes mesazheve me tekst, si dhe informacion nga Google Authenticator.

Nexus gjithashtu mund të kryejë telefonata të fshehta dhe t'i përcjellë ato, si dhe të ndryshojë informacionin e kontaktit. Kjo do të thotë se mund të përdoret për malware të mashtrimit në Toll. Mund të dërgojë mesazhe te të gjitha kontaktet, gjë që mund të rezultojë në përhapjen e mesazheve SMS të padëshiruara.

Për më tepër, trojani mund të menaxhojë njoftimet duke lexuar, përgjuar, fshehur dhe madje duke shfaqur ato të rreme. Ai gjithashtu mund të kontrollojë proceset e ekzekutimit, të fshijë programe, të hapë aplikacione, të kyçë/zhbllokojë pajisjen, të hesht/aktivizojë zërin, të hapë URL-të përmes shfletuesve, të shfaqë mbivendosje të rreme të alarmit të sistemit, të marrë listat e llogarive të përdoruesve dhe të marrë kredencialet e hyrjes dhe bilancet për kuletat e kriptomonedhave.

Nexus gjithashtu mund të lexojë dhe fshijë skedarë nga hapësira ruajtëse e jashtme e lidhur, të cilat mund të përdoren për të shkaktuar infeksione zinxhirore duke injektuar përmbajtje shtesë me qëllim të keq në pajisje. Megjithëse aktualisht, duket se përdoret kryesisht për të marrë paketa injeksioni HTML për aplikacionet bankare, ai potencialisht mund të ndryshohet për të infektuar pajisjet me malware shtesë, siç është ransomware.