โทรจันธนาคาร Nexus
โทรจันธนาคาร Nexus เป็นมัลแวร์มือถือประเภทหนึ่งที่กำหนดเป้าหมายระบบปฏิบัติการ Android โดยพื้นฐานแล้วภัยคุกคามนั้นเป็นเวอร์ชันที่รีแบรนด์ของโทรจันธนาคาร SOVA ที่ระบุและติดตามก่อนหน้านี้ วัตถุประสงค์หลักคือการขโมยข้อมูลทางการเงินและการธนาคารจากอุปกรณ์ที่ติดไวรัสของเหยื่อ อย่างไรก็ตาม มันยังมีคุณสมบัติที่เป็นอันตรายหลายอย่างที่ทำให้มันเป็นภัยคุกคามที่สำคัญยิ่งขึ้น
Nexus สามารถดำเนินการต่างๆ เช่น ขโมยข้อมูลรับรองการเข้าสู่ระบบสำหรับแอปพลิเคชันอื่นๆ บันทึกเสียง และถ่ายภาพหน้าจอ มัลแวร์ประเภทนี้ยังสามารถทำหน้าที่ของสปายแวร์ เช่น การเข้าถึงผู้ติดต่อ ข้อความ และข้อมูลสำคัญอื่นๆ ที่จัดเก็บไว้ในอุปกรณ์ ด้วยเหตุนี้จึงเป็นภัยคุกคามที่สำคัญต่อความเป็นส่วนตัวและความปลอดภัยทางไซเบอร์ รายละเอียดเกี่ยวกับโทรจันธนาคาร Nexus Android เผยแพร่สู่สาธารณะโดยนักวิจัยที่ Cyble
โทรจัน Nexus Banking เก็บเกี่ยวข้อมูลที่ละเอียดอ่อนจากอุปกรณ์ที่ติดไวรัส
มัลแวร์ Nexus เข้าควบคุมอุปกรณ์ของผู้ใช้โดยใช้บริการการเข้าถึงของ Android ในทางที่ผิด คุณลักษณะที่ถูกต้องตามกฎหมายนี้มีไว้เพื่อช่วยให้ผู้ใช้ใช้งานอุปกรณ์ได้ง่ายขึ้นโดยการจำลองการคลิก อ่านข้อความที่แสดง ฯลฯ เมื่อมัลแวร์แทรกซึมเข้าไปในอุปกรณ์ ซึ่งสามารถโต้ตอบกับเครื่องได้หลากหลายวิธี
หลังจากได้รับการควบคุมเหนือบริการการเข้าถึงแล้ว Nexus สามารถยกระดับสิทธิ์และให้สิทธิ์เพิ่มเติมแก่ตนเอง รวมถึงความสามารถในการป้องกันไม่ให้ผู้ใช้ปิดใช้งานบริการการเข้าถึงและปิดใช้งาน Google Play Protect และมาตรการรักษาความปลอดภัยด้วยรหัสผ่านอื่นๆ
Nexus รวบรวมข้อมูลอุปกรณ์ต่างๆ รวมถึงรุ่นโทรศัพท์ เวอร์ชันระบบปฏิบัติการ IMEI สถานะแบตเตอรี่ ที่อยู่ IP (ตำแหน่งทางภูมิศาสตร์) รหัสซิมการ์ด หมายเลขโทรศัพท์ และข้อมูลเครือข่ายมือถือ มัลแวร์เจาะจงไปที่แอปพลิเคชันธนาคารยอดนิยมกว่า 40 แอปพลิเคชัน โดยตรวจสอบรายการแอปพลิเคชันที่ติดตั้งบนอุปกรณ์และดาวน์โหลดโค้ดแทรก HTML ที่เหมาะสมสำหรับแอปธนาคารแต่ละแอป รหัสนี้สร้างการซ้อนทับปลอม ซึ่งจะถูกเรียกใช้เมื่อผู้ใช้โต้ตอบกับแอพธนาคารที่ถูกต้อง และแจ้งให้ผู้ใช้ป้อนข้อมูลรับรองการเข้าสู่ระบบ
เมื่อผู้ใช้ป้อนข้อมูลรับรองการเข้าสู่ระบบ มัลแวร์จะส่งพวกเขาไปยังผู้โจมตี เพื่อให้สามารถเข้าถึงบัญชีธนาคารของผู้ใช้ได้ เนื่องจากมัลแวร์สามารถป้องกันไม่ให้ผู้ใช้ปิดการใช้งาน Accessibility Services จึงสามารถรวบรวมข้อมูลที่ละเอียดอ่อนและทำให้อุปกรณ์ของผู้ใช้เสียหายได้
โทรจัน Nexus Banking เข้าควบคุมอุปกรณ์ที่ถูกละเมิด
โทรจัน Nexus เป็นซอฟต์แวร์ที่เป็นอันตรายซึ่งมีฟังก์ชันต่างๆ ที่ช่วยให้ควบคุมเนื้อหาที่ละเอียดอ่อนได้ โดยเฉพาะบัญชีธนาคาร หนึ่งในความสามารถหลักคือความสามารถในการบันทึกการกดแป้นพิมพ์ (การล็อกแป้น) ซึ่งสามารถใช้บันทึกข้อมูลรับรองการเข้าสู่ระบบและข้อมูลที่ละเอียดอ่อนอื่นๆ ได้
นอกจากนี้ Nexus ยังสามารถจัดการข้อความ SMS การโทร และการแจ้งเตือนได้อีกด้วย มันสามารถอ่าน สกัดกั้น ซ่อน ลบ และแม้แต่ส่งข้อความไปยังหมายเลขเฉพาะหรือผู้ติดต่อทั้งหมด ซึ่งช่วยให้ได้รับ OTP และ 2FAs/MFA ที่ส่งทางข้อความ เช่นเดียวกับข้อมูลจาก Google Authenticator
นอกจากนี้ Nexus ยังสามารถโทรออกและโอนสาย รวมถึงแก้ไขข้อมูลติดต่อได้อีกด้วย ซึ่งหมายความว่าสามารถใช้กับมัลแวร์ Toll Fraud ได้ สามารถส่งข้อความไปยังผู้ติดต่อทั้งหมด ซึ่งอาจส่งผลให้เกิดการแพร่กระจายของข้อความ SMS สแปม
นอกจากนี้ โทรจันยังสามารถจัดการการแจ้งเตือนโดยการอ่าน การสกัดกั้น การซ่อน หรือแม้แต่การแสดงข้อความปลอม นอกจากนี้ยังสามารถตรวจสอบกระบวนการทำงาน, ลบโปรแกรม, เปิดแอป, ล็อค/ปลดล็อคอุปกรณ์, ปิด/เปิดเสียง, เปิด URL ผ่านเบราว์เซอร์, แสดงการซ้อนทับการแจ้งเตือนระบบปลอม, รับรายการบัญชีผู้ใช้ และรับข้อมูลรับรองการเข้าสู่ระบบและยอดคงเหลือสำหรับกระเป๋าเงิน
นอกจากนี้ Nexus ยังสามารถอ่านและลบไฟล์จากที่จัดเก็บข้อมูลภายนอกที่เชื่อมต่อ ซึ่งสามารถใช้ทำให้เกิดการติดไวรัสลูกโซ่ได้โดยการแทรกเนื้อหาที่เป็นอันตรายเพิ่มเติมลงในอุปกรณ์ แม้ว่าในปัจจุบันดูเหมือนว่าจะใช้เพื่อรับแพ็คเกจการฉีด HTML สำหรับแอปธนาคารเป็นหลัก แต่อาจถูกดัดแปลงเพื่อทำให้อุปกรณ์ติดเชื้อด้วยมัลแวร์เพิ่มเติม เช่น แรนซัมแวร์
