Nexus Banking Trojan

Ang Nexus banking trojan ay isang uri ng mobile malware na nagta-target ng Android Operating System. Ang banta ay mahalagang isang rebranded na bersyon ng dating natukoy at sinusubaybayang SOVA banking trojan. Ang pangunahing layunin nito ay magnakaw ng impormasyon sa pagbabangko at pananalapi mula sa mga nahawaang device ng mga biktima nito. Gayunpaman, mayroon din itong iba't ibang mga nakakahamak na tampok na ginagawa itong isang mas makabuluhang banta.

Ang Nexus ay maaaring magsagawa ng mga aksyon tulad ng pagnanakaw ng mga kredensyal sa pag-log in para sa iba pang mga application, pag-record ng audio, at pagkuha ng mga screenshot. Ang ganitong uri ng malware ay maaari ding magsagawa ng mga function ng spyware gaya ng pag-access sa mga contact, mensahe, at iba pang sensitibong impormasyon na nakaimbak sa device. Dahil dito, nagdudulot ito ng malaking banta sa parehong personal na privacy at cybersecurity. Ang mga detalye tungkol sa Nexus Android banking trojan ay inilabas sa publiko ng mga mananaliksik sa Cyble.

Kinukuha ng Trojan ng Nexus Banking ang Sensitibong Impormasyon Mula sa Mga Infected na Device

Ang Nexus malware ay nakakakuha ng kontrol sa mga device ng mga user sa pamamagitan ng pag-abuso sa Android Accessibility Services. Ang lehitimong feature na ito ay nilayon bilang isang paraan upang tulungan ang mga user sa mas madaling pagpapatakbo ng kanilang mga device sa pamamagitan ng pag-simulate ng mga pag-click, pagbabasa ng ipinapakitang text, atbp. Kapag nakapasok ang malware sa isang device (kadalasan ay nakakubli bilang isang lehitimong app), hinihiling nito ang mga user na paganahin ang Mga Serbisyo sa Pag-access, na maaaring makipag-ugnayan sa makina sa iba't ibang paraan.

Pagkatapos magkaroon ng kontrol sa Mga Serbisyo sa Accessibility, maaaring palakihin ng Nexus ang mga pribilehiyo nito at bigyan ang sarili ng mga karagdagang pahintulot, kabilang ang kakayahang pigilan ang mga user na i-disable ang Mga Serbisyo sa Accessibility at i-deactivate ang Google Play Protect at iba pang mga hakbang sa seguridad ng password.

Kinokolekta ng Nexus ang iba't ibang impormasyon ng device, kabilang ang modelo ng telepono, bersyon ng OS, IMEI, status ng baterya, IP address (geolocation), SIM card ID, numero ng telepono, at data ng mobile network. Partikular na tina-target ng malware ang mahigit apatnapung sikat na application sa pagbabangko, tinitingnan ang listahan ng mga application na naka-install sa device at dina-download ang naaangkop na HTML injection code para sa bawat banking app. Lumilikha ang code na ito ng pekeng overlay, na nati-trigger kapag nakipag-ugnayan ang user sa lehitimong banking app, at sinenyasan ang user na ilagay ang kanilang mga kredensyal sa pag-log in.

Kapag naipasok na ng user ang kanilang mga kredensyal sa pag-log in, ipapadala sila ng malware sa mga umaatake, na nagbibigay sa kanila ng access sa bank account ng user. Dahil napipigilan ng malware ang user na huwag paganahin ang Mga Serbisyo sa Accessibility, maaari itong magpatuloy sa pagkolekta ng sensitibong impormasyon at ikompromiso ang device ng user.

Nakuha ng Nexus Banking Trojan ang Kontrol ng mga Nilabag na Device

Ang Nexus trojan ay isang nakakahamak na software na may iba't ibang mga pag-andar na tumutulong dito na makontrol ang sensitibong nilalaman, lalo na ang mga banking account. Ang isa sa mga pangunahing kakayahan nito ay ang kakayahang mag-record ng mga keystroke (keylogging) na maaaring magamit upang makuha ang mga kredensyal sa pag-log in at iba pang sensitibong impormasyon.

Bilang karagdagan, maaari ding pamahalaan ng Nexus ang mga mensaheng SMS, tawag, at notification. Maaari itong basahin, harangin, itago, tanggalin, at kahit na magpadala ng mga text message sa mga partikular na numero o lahat ng mga contact. Nagbibigay-daan ito upang makakuha ng mga OTP at 2FA/MFA na ipinadala sa pamamagitan ng mga text message, pati na rin ang impormasyon mula sa Google Authenticator.

Ang Nexus ay maaari ding gumawa ng mga palihim na tawag sa telepono at ipasa ang mga ito, pati na rin baguhin ang impormasyon sa pakikipag-ugnayan. Nangangahulugan ito na maaari itong magamit para sa Toll Fraud malware. Maaari itong magpadala ng mga mensahe sa lahat ng mga contact, na maaaring magresulta sa paglaganap ng mga spam na mensaheng SMS.

Higit pa rito, maaaring pamahalaan ng trojan ang mga notification sa pamamagitan ng pagbabasa, pagharang, pagtatago, at kahit na pagpapakita ng mga peke. Maaari din nitong suriin ang mga tumatakbong proseso, tanggalin ang mga program, buksan ang mga app, i-lock/i-unlock ang device, i-mute/i-unmute ang tunog, buksan ang mga URL sa pamamagitan ng mga browser, magpakita ng mga pekeng overlay ng alerto ng system, kumuha ng mga listahan ng user account, at kumuha ng mga kredensyal sa pag-log in at balanse para sa mga wallet ng cryptocurrency.

Ang Nexus ay maaari ding magbasa at magtanggal ng mga file mula sa konektadong panlabas na storage, na maaaring magamit upang magdulot ng mga impeksyon sa chain sa pamamagitan ng pag-iniksyon ng karagdagang nakakahamak na nilalaman sa mga device. Bagama't sa kasalukuyan, lumilitaw na ito ay pangunahing ginagamit upang makakuha ng mga HTML injection package para sa mga banking app, maaari itong mabago upang mahawahan ang mga device na may karagdagang malware, gaya ng ransomware.