Nexus Android Truva Atı

'Nexus' olarak bilinen yeni ortaya çıkan bir Android bankacılık Truva Atı, çeşitli tehdit aktörlerinin kötü amaçlı araçlarına zaten eklendi. Siber suçlular, tehdidi yaklaşık 450 finansal uygulamayı hedef almak ve dolandırıcılık faaliyetleri yürütmek için kullandı.

Tehdit hakkında bir rapor yayınlayan İtalyan siber güvenliğe göre, Nexus gelişiminin ilk aşamalarında görünüyor. Ancak Truva atı, bankacılık portallarına ve kripto para birimi hizmetlerine karşı Hesap Devralma (ATO) saldırıları gerçekleştirmek için oturum açma kimlik bilgilerini çalmak ve SMS mesajlarını ele geçirmek gibi gerekli tüm özellikleri sağlar. Nexus'un kötü niyetli yetenekleri, onu, kurbanlarına önemli mali zararlar verebilecek, gelişmiş ve tehlikeli bir bankacılık truva atı haline getiriyor. Nexus, Android cihazları tehlikeye atmak için özel olarak tasarlanmıştır.

Nexus Banking Truva Atı, Abonelik Hizmetleri Olarak Sunulmaktadır

Nexus Bankacılık Truva Atı'nın çeşitli bilgisayar korsanlığı forumlarında MaaS (Hizmet Olarak Kötü Amaçlı Yazılım) planı olarak ayda 3.000 ABD dolarına satışa sunulduğu keşfedildi. Bununla birlikte, truva atının, karanlık ağ portallarında resmi olarak duyurulmasından en az altı ay önce, Haziran 2022 gibi erken bir tarihte gerçek dünya saldırılarında konuşlandırılmış olabileceğini gösteren kanıtlar var.

Kötü amaçlı yazılım yazarları, kendi Telegram kanallarına göre Nexus bulaşmalarının çoğunun Türkiye'de bildirildiğini doğruladı. Ayrıca, kötü amaçlı yazılım tehdidinin, aslında kaynak kodunun bazı kısımlarını yeniden kullanan SOVA adlı başka bir bankacılık Truva Atı ile örtüştüğü tespit edildi. Nexus Truva Atı, aktif olarak geliştirilmiş gibi görünen bir fidye yazılımı modülü de içerir.

İlginç bir şekilde, Nexus'un yazarları, kötü amaçlı yazılımlarının Azerbaycan, Ermenistan, Beyaz Rusya, Kazakistan, Kırgızistan, Moldova, Rusya, Tacikistan, Özbekistan, Ukrayna ve Endonezya dahil olmak üzere birçok ülkede kullanılmasını yasaklayan açık kurallar koydu.

Nexus Banking Truva Atı'nda Bulunan Tehdit Edici Yeteneklerin Kapsamlı Listesi

Nexus, bindirme saldırıları ve keylogging gibi çeşitli teknikler kullanarak kullanıcıların bankacılık ve kripto para hesaplarına yetkisiz erişim elde etmek için özel olarak tasarlanmıştır. Kötü amaçlı yazılım, bu yöntemlerle kullanıcıların oturum açma kimlik bilgilerini ve diğer hassas bilgilerini çalar.

Bu taktiklere ek olarak, kötü amaçlı yazılım hem SMS mesajlarından hem de Google Authenticator uygulamasından iki faktörlü kimlik doğrulama (2FA) kodlarını okuma yeteneğine sahiptir. Bu, Android'deki erişilebilirlik hizmetlerinin kullanılmasıyla mümkün olmuştur.

Ayrıca kötü amaçlı yazılım, alınan SMS mesajlarını kaldırma, 2FA hırsız modülünü etkinleştirme veya devre dışı bırakma ve bir komut ve kontrol (C2) sunucusuyla periyodik olarak iletişim kurarak kendini güncelleme gibi yeni işlevlerle geliştirilmiştir. Bu yeni özellikler, kötü amaçlı yazılımı daha da tehlikeli ve tespit edilmesini zorlaştırıyor.