Nexus Android Trojan

Ang isang umuusbong na Android banking Trojan na kilala bilang 'Nexus' ay naidagdag na sa mga nakakahamak na tool ng ilang mga banta na aktor. Ginamit ng mga cybercriminal ang banta upang i-target ang humigit-kumulang 450 pinansiyal na aplikasyon at magsagawa ng mga mapanlinlang na aktibidad.

Ayon sa Italian cybersecurity na naglabas ng ulat sa banta, tila nasa maagang yugto ng pag-unlad ang Nexus. Gayunpaman, ibinibigay ng Trojan ang lahat ng kinakailangang feature para magsagawa ng mga pag-atake ng Account Takeover (ATO) laban sa mga banking portal at mga serbisyo ng cryptocurrency, tulad ng pagnanakaw ng mga kredensyal sa pag-log in at pagharang sa mga mensaheng SMS. Ang mga nakakahamak na kakayahan ng Nexus ay ginagawa itong isang sopistikado at mapanganib na banking trojan na maaaring magdulot ng malaking pinsala sa pananalapi sa mga biktima nito. Ang Nexus ay partikular na idinisenyo upang ikompromiso ang mga Android device.

Ang Nexus Banking Trojan ay Inaalok bilang Mga Serbisyo sa Subscription

Ang Nexus Banking Trojan ay natuklasan na ibinibigay para sa pagbebenta sa iba't ibang mga forum sa pag-hack sa halagang $3,000 bawat buwan bilang MaaS (Malware-as-a-Service) scheme. Gayunpaman, may patunay na iminumungkahi na ang trojan ay maaaring na-deploy na sa mga totoong pag-atake sa mundo noong Hunyo 2022, hindi bababa sa anim na buwan bago ang opisyal na anunsyo nito sa mga portal ng darknet.

Kinumpirma ng mga may-akda ng malware na ang karamihan sa mga impeksyon sa Nexus ay naiulat sa Turkey, ayon sa kanilang sariling Telegram channel. Higit pa rito, ang banta ng malware ay natagpuang magkakapatong sa isa pang banking Trojan na tinatawag na SOVA, na aktwal na muling gumagamit ng mga bahagi ng source code nito. Naglalaman din ang Nexus Trojan ng ransomware module na mukhang aktibong binuo.

Kapansin-pansin, ang mga may-akda ng Nexus ay nagtakda ng mga tahasang panuntunan na nagbabawal sa paggamit ng kanilang malware sa ilang bansa, kabilang ang Azerbaijan, Armenia, Belarus, Kazakhstan, Kyrgyzstan, Moldova, Russia, Tajikistan, Uzbekistan, Ukraine, at Indonesia.

Malawak na Listahan ng Mga Mapagbabantang Kakayahang Natagpuan sa Nexus Banking Trojan

Ang Nexus ay partikular na idinisenyo upang makakuha ng hindi awtorisadong pag-access sa mga banking at cryptocurrency account ng mga user sa pamamagitan ng paggamit ng iba't ibang pamamaraan tulad ng mga overlay attack at keylogging. Sa pamamagitan ng mga pamamaraang ito, ninanakaw ng malware ang mga kredensyal sa pag-log in ng mga user at iba pang sensitibong impormasyon.

Bilang karagdagan sa mga taktikang ito, may kakayahan ang malware na basahin ang mga two-factor authentication (2FA) code, parehong mula sa mga mensaheng SMS at sa Google Authenticator app. Ito ay ginawang posible sa pamamagitan ng pagsasamantala ng mga serbisyo sa pagiging naa-access sa Android.

Bukod dito, ang malware ay pinahusay ng mga bagong functionality, tulad ng kakayahang mag-alis ng mga natanggap na mensaheng SMS, i-activate o i-deactivate ang 2FA stealer module, at i-update ang sarili nito sa pamamagitan ng pana-panahong pakikipag-ugnayan sa isang command-and-control (C2) server. Ang mga bagong feature na ito ay ginagawang mas mapanganib at mahirap matukoy ang malware.