โทรจัน Android Nexus

โทรจันธนาคาร Android ที่เกิดขึ้นใหม่ซึ่งรู้จักกันในชื่อ 'Nexus' ได้ถูกเพิ่มเข้าไปในเครื่องมือที่เป็นอันตรายของผู้คุกคามหลายรายแล้ว อาชญากรไซเบอร์ใช้ภัยคุกคามเพื่อกำหนดเป้าหมายแอปพลิเคชันทางการเงินประมาณ 450 รายการและดำเนินกิจกรรมฉ้อโกง

ตามที่หน่วยงานความปลอดภัยทางไซเบอร์ของอิตาลีได้เผยแพร่รายงานเกี่ยวกับภัยคุกคามดังกล่าว ดูเหมือนว่า Nexus จะอยู่ในช่วงเริ่มต้นของการพัฒนา อย่างไรก็ตาม โทรจันมีคุณสมบัติที่จำเป็นทั้งหมดเพื่อดำเนินการโจมตีการครอบครองบัญชี (ATO) กับพอร์ทัลธนาคารและบริการสกุลเงินดิจิทัล เช่น การขโมยข้อมูลรับรองการเข้าสู่ระบบและการสกัดกั้นข้อความ SMS ความสามารถที่เป็นอันตรายของ Nexus ทำให้มันกลายเป็นโทรจันธนาคารที่ซับซ้อนและอันตราย ซึ่งสามารถสร้างความเสียหายทางการเงินให้กับผู้ที่ตกเป็นเหยื่อได้ Nexus ได้รับการออกแบบมาโดยเฉพาะเพื่อประนีประนอมกับอุปกรณ์ Android

โทรจัน Nexus Banking เป็นบริการสมัครสมาชิก

โทรจัน Nexus Banking ถูกค้นพบเพื่อขายในฟอรัมแฮ็กต่างๆ ในราคา $3,000 ต่อเดือนในรูปแบบ MaaS (Malware-as-a-Service) อย่างไรก็ตาม มีหลักฐานที่บ่งชี้ว่าโทรจันอาจถูกนำไปใช้ในการโจมตีในโลกแห่งความจริงแล้วตั้งแต่เดือนมิถุนายน 2565 อย่างน้อยหกเดือนก่อนที่จะมีการประกาศอย่างเป็นทางการบนดาร์กเน็ตพอร์ทัล

ผู้เขียนมัลแวร์ยืนยันว่ามีรายงานการติดไวรัส Nexus ส่วนใหญ่ในตุรกี ตามช่องทาง Telegram ของพวกเขาเอง นอกจากนี้ ภัยคุกคามจากมัลแวร์ยังพบว่าทับซ้อนกับโทรจันธนาคารตัวอื่นที่เรียกว่า SOVA โดยนำบางส่วนของซอร์สโค้ดกลับมาใช้ใหม่ โทรจัน Nexus ยังมีโมดูลเรียกค่าไถ่ที่ดูเหมือนจะได้รับการพัฒนาอย่างแข็งขัน

น่าสนใจ ผู้เขียน Nexus ได้ตั้งกฎที่ชัดเจนห้ามการใช้มัลแวร์ในหลายประเทศ รวมถึงอาเซอร์ไบจาน อาร์เมเนีย เบลารุส คาซัคสถาน คีร์กีซสถาน มอลโดวา รัสเซีย ทาจิกิสถาน อุซเบกิสถาน ยูเครน และอินโดนีเซีย

รายการความสามารถที่คุกคามที่พบใน Nexus Banking Trojan

Nexus ได้รับการออกแบบมาโดยเฉพาะเพื่อให้สามารถเข้าถึงบัญชีธนาคารและบัญชีเงินดิจิตอลของผู้ใช้โดยไม่ได้รับอนุญาต โดยใช้เทคนิคต่างๆ เช่น การโจมตีแบบโอเวอร์เลย์และการบันทึกคีย์ล็อก ด้วยวิธีการเหล่านี้ มัลแวร์จะขโมยข้อมูลรับรองการเข้าสู่ระบบของผู้ใช้และข้อมูลที่ละเอียดอ่อนอื่นๆ

นอกจากกลยุทธ์เหล่านี้แล้ว มัลแวร์ยังมีความสามารถในการอ่านรหัสการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) ทั้งจากข้อความ SMS และแอป Google Authenticator สิ่งนี้เกิดขึ้นได้จากการใช้ประโยชน์จากบริการการเข้าถึงใน Android

นอกจากนี้ มัลแวร์ยังได้รับการปรับปรุงด้วยฟังก์ชันการทำงานใหม่ๆ เช่น ความสามารถในการลบข้อความ SMS ที่ได้รับ เปิดหรือปิดใช้งานโมดูล 2FA Stealer และอัปเดตตัวเองด้วยการสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2) เป็นระยะๆ คุณสมบัติใหม่เหล่านี้ทำให้มัลแวร์อันตรายยิ่งขึ้นและตรวจจับได้ยาก