Android-троян Nexus

Новий банківський троян Android, відомий як Nexus, уже додано до шкідливих інструментів кількох загроз. Кіберзлочинці використали загрозу, щоб атакувати приблизно 450 фінансових програм і здійснювати шахрайські дії.

За словами італійського відділу кібербезпеки, який опублікував звіт про загрозу, Nexus, здається, знаходиться на ранніх стадіях розробки. Проте троян надає всі необхідні функції для здійснення атак із захопленням облікового запису (ATO) на банківські портали та криптовалютні сервіси, таких як викрадення облікових даних для входу та перехоплення SMS-повідомлень. Шкідливі можливості Nexus роблять його складним і небезпечним банківським трояном, який може завдати значної фінансової шкоди своїм жертвам. Nexus розроблено спеціально для компрометації пристроїв Android.

Банківський троян Nexus пропонується як послуга передплати

Було виявлено, що троян Nexus Banking продається на різних хакерських форумах за 3000 доларів на місяць за схемою MaaS (Malware-as-a-Service). Однак є докази, які свідчать про те, що троян вже міг бути використаний для атак у реальному світі ще в червні 2022 року, щонайменше за шість місяців до його офіційного оголошення на порталах темної мережі.

Згідно з їхнім власним каналом у Telegram, автори шкідливого програмного забезпечення підтвердили, що більшість заражень Nexus були зареєстровані в Туреччині. Крім того, було виявлено, що загроза зловмисного програмного забезпечення збігається з іншим банківським трояном під назвою SOVA, фактично повторно використовуючи частини його вихідного коду. Троян Nexus також містить модуль програми-вимагача, який, здається, активно розробляється.

Цікаво, що автори Nexus встановили чіткі правила, які забороняють використання їхнього шкідливого програмного забезпечення в кількох країнах, зокрема в Азербайджані, Вірменії, Білорусі, Казахстані, Киргизстані, Молдові, Росії, Таджикистані, Узбекистані, Україні та Індонезії.

Розширений список загрозливих можливостей, знайдених у банківському троянці Nexus

Nexus спеціально розроблено для отримання несанкціонованого доступу до банківських і криптовалютних рахунків користувачів за допомогою різних методів, таких як атаки накладення та клавіатурні журнали. За допомогою цих методів зловмисне програмне забезпечення викрадає облікові дані користувачів та іншу конфіденційну інформацію.

На додаток до цих тактик, зловмисне програмне забезпечення має можливість зчитувати коди двофакторної автентифікації (2FA) як із SMS-повідомлень, так і з програми Google Authenticator. Це стало можливим завдяки використанню служб доступності в Android.

Крім того, зловмисне програмне забезпечення було розширено новими функціями, такими як можливість видаляти отримані SMS-повідомлення, активувати або дезактивувати модуль викрадання 2FA та оновлювати себе шляхом періодичного зв’язку з сервером керування (C2). Ці нові функції роблять зловмисне програмне забезпечення ще більш небезпечним і його важко виявити.