Nexus Android Trojan

En framväxande Android-banktrojan känd som "Nexus" har redan lagts till i de skadliga verktygen från flera hotaktörer. De cyberbrottslingar har använt hotet för att rikta in sig på cirka 450 finansiella ansökningar och utföra bedrägliga aktiviteter.

Enligt italiensk cybersäkerhet som släppte en rapport om hotet verkar Nexus vara i sina tidiga utvecklingsstadier. Trojanen tillhandahåller dock alla nödvändiga funktioner för att utföra ATO-attacker (Account Takeover) mot bankportaler och kryptovalutatjänster, som att stjäla inloggningsuppgifter och avlyssning av SMS-meddelanden. De skadliga funktionerna hos Nexus gör den till en sofistikerad och farlig banktrojan som kan orsaka betydande ekonomisk skada för sina offer. Nexus är utformad speciellt för att äventyra Android-enheter.

Nexus Banking Trojan erbjuds som en prenumerationstjänst

Nexus Banking Trojan upptäcktes vara tillgänglig för försäljning på olika hackingforum för $3 000 per månad som MaaS-system (Malware-as-a-Service). Det finns dock bevis som tyder på att trojanen redan kan ha utplacerats i verkliga attacker så tidigt som i juni 2022, minst sex månader innan dess officiella tillkännagivande på darknet-portalerna.

Skadlig programvara författarna har bekräftat att majoriteten av Nexus-infektioner har rapporterats i Turkiet, enligt deras egen Telegram-kanal. Dessutom har hotet mot skadlig programvara visat sig överlappa med en annan banktrojan som heter SOVA, som faktiskt återanvänder delar av sin källkod. Nexus Trojan innehåller också en ransomware-modul som verkar vara aktivt utvecklad.

Intressant nog har författarna till Nexus satt upp tydliga regler som förbjuder användningen av deras skadliga program i flera länder, inklusive Azerbajdzjan, Armenien, Vitryssland, Kazakstan, Kirgizistan, Moldavien, Ryssland, Tadzjikistan, Uzbekistan, Ukraina och Indonesien.

Expansiv lista över de hotfulla funktioner som finns i Nexus Banking Trojan

Nexus är speciellt utformad för att få obehörig åtkomst till användarnas bank- och kryptovalutakonton genom att använda olika tekniker som överlagringsattacker och nyckelloggning. Genom dessa metoder stjäl skadlig programvara användarnas inloggningsuppgifter och annan känslig information.

Utöver dessa taktiker har skadlig programvara förmågan att läsa tvåfaktorsautentiseringskoder (2FA), både från SMS och Google Authenticator-appen. Detta möjliggörs genom utnyttjandet av tillgänglighetstjänster i Android.

Dessutom har den skadliga programvaran förbättrats med nya funktioner, såsom möjligheten att ta bort mottagna SMS-meddelanden, aktivera eller inaktivera 2FA stealer-modulen och uppdatera sig själv genom att regelbundet kommunicera med en kommando-och-kontroll-server (C2). Dessa nya funktioner gör skadlig programvara ännu farligare och svårare att upptäcka.