Nexus Banking Trojan

Некус банкарски тројанац је врста мобилног малвера који циља на Андроид оперативне системе. Претња је у суштини ребрендирана верзија претходно идентификованог и праћеног банкарског тројанца СОВА. Његов примарни циљ је да украде банкарске и финансијске информације са заражених уређаја својих жртава. Међутим, он такође има разне злонамерне карактеристике које га чине значајнијом претњом.

Некус може да обавља радње као што су крађа акредитива за пријављивање за друге апликације, снимање звука и прављење снимака екрана. Овај тип малвера такође може да обавља функције шпијунског софтвера као што је приступ контактима, порукама и другим осетљивим информацијама ускладиштеним на уређају. Као такав, представља значајну претњу и за личну приватност и за сајбер безбедност. Истраживачи из Цибле-а су јавности објавили детаље о банковном тројанцу Некус Андроид.

Некус банкарски тројанац прикупља осетљиве информације са заражених уређаја

Злонамерни софтвер Некус добија контролу над уређајима корисника злоупотребом Андроид услуга приступачности. Ова легитимна функција је замишљена као начин да се помогне корисницима да лакше управљају својим уређајима симулацијом кликова, читањем приказаног текста итд. Када се малвер инфилтрира у уређај (обично прерушен у легитимну апликацију), тражи од корисника да омогуће услуге приступачности, који могу да ступе у интеракцију са машином на различите начине.

Након што стекне контролу над услугама приступачности, Некус може да ескалира своје привилегије и да себи додели додатне дозволе, укључујући могућност да спречи кориснике да онемогуће услуге приступачности и деактивира Гоогле Плаи заштиту и друге мере безбедности лозинке.

Некус прикупља различите информације о уређају, укључујући модел телефона, верзију ОС-а, ИМЕИ, статус батерије, ИП адресу (геолокацију), ИД СИМ картице, број телефона и податке мобилне мреже. Малвер посебно циља преко четрдесет популарних банкарских апликација, проверава листу апликација инсталираних на уређају и преузима одговарајући ХТМЛ код за убризгавање за сваку банкарску апликацију. Овај код креира лажно преклапање, које се покреће када корисник ступи у интеракцију са легитимном банкарском апликацијом и тражи од корисника да унесе своје акредитиве за пријаву.

Када корисник унесе своје акредитиве за пријаву, малвер их шаље нападачима, дајући им приступ корисниковом банковном рачуну. Пошто злонамерни софтвер може да спречи корисника да онемогући услуге приступачности, може да настави да прикупља осетљиве информације и да угрози уређај корисника.

Некус банкарски тројанац добија контролу над оштећеним уређајима

Некус тројанац је злонамерни софтвер који има различите функције које му помажу да стекне контролу над осетљивим садржајем, посебно над банковним рачунима. Једна од његових кључних способности је могућност снимања притисака на тастере (кеилоггинг) који се могу користити за хватање акредитива за пријаву и других осетљивих информација.

Поред тога, Некус такође може да управља СМС порукама, позивима и обавештењима. Може да чита, пресреће, сакрива, брише, па чак и шаље текстуалне поруке одређеним бројевима или свим контактима. Ово му омогућава да добије ОТП-ове и 2ФА/МФА-ове послате путем текстуалних порука, као и информације из Гоогле Аутхентицатор-а.

Некус такође може да упућује скривене телефонске позиве и да их прослеђује, као и да мења контакт информације. То значи да се може користити за малвер за превару наплате. Може да шаље поруке свим контактима, што може довести до ширења нежељених СМС порука.

Штавише, тројанац може да управља обавештењима читањем, пресретањем, скривањем, па чак и приказивањем лажних. Такође може да проверава покренуте процесе, брише програме, отвара апликације, закључава/откључава уређај, утишава/укључује звук, отвара УРЛ-ове преко претраживача, приказује лажне системске преклапања, преузима листе корисничких налога и добија акредитиве за пријаву и стање новчаника за криптовалуте.

Некус такође може да чита и брише датотеке са повезане спољне меморије, што би могло да се користи за изазивање ланчаних инфекција убацивањем додатног злонамерног садржаја у уређаје. Иако се тренутно чини да се првенствено користи за добијање пакета за убризгавање ХТМЛ-а за банкарске апликације, потенцијално би могао бити измењен да би се уређаји заразили додатним злонамерним софтвером, као што је рансомваре.