Nexus Banking Trojan

Nexus banktrojan är en typ av mobil skadlig kod som riktar sig mot Android-operativsystem. Hotet är i huvudsak en omdöpt version av den tidigare identifierade och spårade SOVA-banktrojanen. Dess primära mål är att stjäla bank- och finansiell information från offrens infekterade enheter. Men det har också olika skadliga funktioner som gör det till ett mer betydande hot.

Nexus kan utföra åtgärder som att stjäla inloggningsuppgifter för andra applikationer, spela in ljud och ta skärmdumpar. Den här typen av skadlig programvara kan också utföra spionprogramfunktioner som att komma åt kontakter, meddelanden och annan känslig information som lagras på enheten. Som sådan utgör det ett betydande hot mot både personlig integritet och cybersäkerhet. Detaljer om Nexus Android-banktrojanen släpptes för allmänheten av forskarna på Cyble.

Nexus Banking Trojan skördar känslig information från infekterade enheter

Nexus skadliga program får kontroll över användarnas enheter genom att missbruka Android Accessibility Services. Denna legitima funktion är avsedd som ett sätt att hjälpa användare att enklare använda sina enheter genom att simulera klick, läsa visad text, etc. När skadlig programvara infiltrerar en enhet (vanligtvis förklädd som en legitim app), ber den användare att aktivera tillgänglighetstjänster, som kan interagera med maskinen på olika sätt.

Efter att ha fått kontroll över tillgänglighetstjänsterna kan Nexus eskalera sina privilegier och ge sig själv ytterligare behörigheter, inklusive möjligheten att förhindra användare från att inaktivera tillgänglighetstjänsterna och inaktivera Google Play Protect och andra lösenordssäkerhetsåtgärder.

Nexus samlar in olika enhetsinformation, inklusive telefonmodell, OS-version, IMEI, batteristatus, IP-adress (geografisk plats), SIM-kort-ID, telefonnummer och mobilnätverksdata. Skadlig programvara riktar sig specifikt till över fyrtio populära bankapplikationer, kontrollerar listan över applikationer installerade på enheten och laddar ner lämplig HTML-injektionskod för varje bankapp. Den här koden skapar en falsk överlagring, som utlöses när användaren interagerar med den legitima bankappen, och uppmanar användaren att ange sina inloggningsuppgifter.

När användaren anger sina inloggningsuppgifter skickar skadlig programvara dem till angriparna, vilket ger dem tillgång till användarens bankkonto. Eftersom skadlig programvara kan hindra användaren från att inaktivera tillgänglighetstjänsterna, kan den fortsätta att samla in känslig information och äventyra användarens enhet.

Nexus Banking Trojan får kontroll över de intrångade enheterna

Nexus-trojanen är en skadlig programvara som har olika funktioner som hjälper den att få kontroll över känsligt innehåll, särskilt bankkonton. En av dess nyckelförmågor är förmågan att registrera tangenttryckningar (tangentloggning) som kan användas för att fånga inloggningsuppgifter och annan känslig information.

Dessutom kan Nexus också hantera SMS, samtal och aviseringar. Den kan läsa, avlyssna, dölja, radera och till och med skicka textmeddelanden till specifika nummer eller alla kontakter. Detta gör att den kan få OTP:er och 2FA:er/MFA:er skickade via textmeddelanden, samt information från Google Authenticator.

Nexus kan också ringa smygsamtal och vidarebefordra dem, samt ändra kontaktinformation. Detta innebär att det kan användas för Toll Fraud malware. Det kan skicka meddelanden till alla kontakter, vilket kan resultera i spridningen av spam-SMS.

Dessutom kan trojanen hantera aviseringar genom att läsa, avlyssna, gömma och till och med visa falska. Det kan också kontrollera pågående processer, ta bort program, öppna appar, låsa/låsa upp enheten, stänga av/slå på ljud, öppna webbadresser via webbläsare, visa falska systemvarningsöverlägg, skaffa användarkontolistor och få inloggningsuppgifter och saldon för kryptovaluta-plånböcker.

Nexus kan också läsa och ta bort filer från ansluten extern lagring, som kan användas för att orsaka kedjeinfektioner genom att injicera ytterligare skadligt innehåll i enheter. Även om det för närvarande tycks användas främst för att få HTML-injektionspaket för bankappar, kan det eventuellt ändras för att infektera enheter med ytterligare skadlig programvara, såsom ransomware.