Nexus Bankacılık Truva Atı

Nexus bankacılık truva atı, Android İşletim Sistemlerini hedefleyen bir mobil kötü amaçlı yazılım türüdür. Tehdit, esasen önceden tanımlanmış ve izlenen SOVA bankacılık truva atının yeniden markalandırılmış bir versiyonudur. Birincil amacı, kurbanlarının virüs bulaşmış cihazlarından bankacılık ve finans bilgilerini çalmaktır. Ancak, onu daha önemli bir tehdit haline getiren çeşitli kötü amaçlı özelliklere de sahiptir.

Nexus, diğer uygulamalar için oturum açma kimlik bilgilerini çalma, ses kaydetme ve ekran görüntüsü alma gibi eylemler gerçekleştirebilir. Bu tür kötü amaçlı yazılımlar, cihazda depolanan kişilere, mesajlara ve diğer hassas bilgilere erişim gibi casus yazılım işlevlerini de gerçekleştirebilir. Bu nedenle, hem kişisel mahremiyet hem de siber güvenlik için önemli bir tehdit oluşturmaktadır. Nexus Android bankacılık truva atı hakkındaki ayrıntılar, Cyble'daki araştırmacılar tarafından halka açıklandı.

Nexus Banking Truva Atı, Etkilenen Cihazlardan Hassas Bilgiler Topluyor

Nexus kötü amaçlı yazılımı, Android Erişilebilirlik Hizmetlerini kötüye kullanarak kullanıcıların cihazları üzerinde kontrol kazanıyor. Bu meşru özelliğin amacı, kullanıcıların tıklamaları simüle ederek, görüntülenen metni okuyarak vb. cihazlarını daha kolay çalıştırmalarına yardımcı olmaktır. Kötü amaçlı yazılım bir cihaza sızdığında (genellikle meşru bir uygulama kılığında), kullanıcılardan Erişilebilirlik Hizmetlerini etkinleştirmelerini ister. makine ile çeşitli şekillerde etkileşime girebilen.

Erişilebilirlik Hizmetleri üzerinde kontrol sahibi olduktan sonra Nexus, ayrıcalıklarını yükseltebilir ve kullanıcıların Erişilebilirlik Hizmetlerini devre dışı bırakmasını engelleme ve Google Play Protect ile diğer şifre güvenlik önlemlerini devre dışı bırakma yeteneği dahil olmak üzere kendisine ek izinler verebilir.

Nexus, telefon modeli, işletim sistemi sürümü, IMEI, pil durumu, IP adresi (coğrafi konum), SIM kart kimliği, telefon numarası ve mobil ağ verileri gibi çeşitli cihaz bilgilerini toplar. Kötü amaçlı yazılım, özellikle kırktan fazla popüler bankacılık uygulamasını hedefliyor, cihazda yüklü uygulamaların listesini kontrol ediyor ve her bankacılık uygulaması için uygun HTML enjeksiyon kodunu indiriyor. Bu kod, kullanıcı yasal bankacılık uygulamasıyla etkileşime girdiğinde tetiklenen ve kullanıcıdan oturum açma kimlik bilgilerini girmesini isteyen sahte bir yer paylaşımı oluşturur.

Kullanıcı oturum açma kimlik bilgilerini girdikten sonra, kötü amaçlı yazılım bunları saldırganlara göndererek kullanıcının banka hesabına erişmelerini sağlar. Kötü amaçlı yazılım, kullanıcının Erişilebilirlik Hizmetlerini devre dışı bırakmasını engelleyebildiğinden, hassas bilgileri toplamaya devam edebilir ve kullanıcının cihazını tehlikeye atabilir.

Nexus Banking Truva Atı İhlal Edilen Cihazların Kontrolünü Ele Geçirdi

Nexus truva atı, özellikle bankacılık hesapları olmak üzere hassas içerik üzerinde kontrol kazanmasına yardımcı olan çeşitli işlevlere sahip kötü amaçlı bir yazılımdır. Anahtar yeteneklerinden biri, oturum açma kimlik bilgilerini ve diğer hassas bilgileri yakalamak için kullanılabilen tuş vuruşlarını (keylogging) kaydetme yeteneğidir.

Ayrıca Nexus, SMS mesajlarını, çağrıları ve bildirimleri de yönetebilir. Metin mesajlarını okuyabilir, araya girebilir, gizleyebilir, silebilir ve hatta belirli numaralara veya tüm kişilere metin mesajları gönderebilir. Bu, metin mesajları yoluyla gönderilen OTP'leri ve 2FA'ları/MFA'ları ve ayrıca Google Authenticator'dan bilgi almasını sağlar.

Nexus ayrıca gizli telefon aramaları yapabilir ve bunları iletebilir, ayrıca iletişim bilgilerini değiştirebilir. Bu, Toll Fraud kötü amaçlı yazılımı için kullanılabileceği anlamına gelir. Tüm kişilere mesaj gönderebilir, bu da spam SMS mesajlarının çoğalmasına neden olabilir.

Ayrıca truva atı, sahte bildirimleri okuyarak, engelleyerek, gizleyerek ve hatta göstererek bildirimleri yönetebilir. Ayrıca çalışan işlemleri kontrol edebilir, programları silebilir, uygulamaları açabilir, cihazı kilitleyebilir/kilidini açabilir, sesi kapatabilir/açabilir, tarayıcılar aracılığıyla URL'leri açabilir, sahte sistem uyarı katmanlarını gösterebilir, kullanıcı hesap listelerini alabilir ve kripto para birimi cüzdanları için oturum açma kimlik bilgilerini ve bakiyelerini alabilir.

Nexus ayrıca, cihazlara ek kötü amaçlı içerik enjekte ederek zincir bulaşmalarına neden olmak için kullanılabilecek bağlı harici depolamadaki dosyaları okuyabilir ve silebilir. Şu anda, öncelikle bankacılık uygulamaları için HTML enjeksiyon paketleri elde etmek için kullanılıyor gibi görünse de, cihazlara fidye yazılımı gibi ek kötü amaçlı yazılımlar bulaştırmak için potansiyel olarak değiştirilebilir.