Банківський троян Nexus

Банківський троян Nexus — це тип мобільного зловмисного програмного забезпечення, націленого на операційні системи Android. По суті, загроза є ребрендинговою версією раніше ідентифікованого та відстеженого банківського трояна SOVA. Його основна мета — викрасти банківську та фінансову інформацію із заражених пристроїв жертв. Однак він також має різні шкідливі функції, які роблять його більш значною загрозою.

Nexus може виконувати такі дії, як крадіжка облікових даних для входу в інші програми, запис аудіо та створення знімків екрана. Цей тип зловмисного програмного забезпечення також може виконувати шпигунські функції, такі як доступ до контактів, повідомлень та іншої конфіденційної інформації, що зберігається на пристрої. Таким чином, це становить значну загрозу як для особистої конфіденційності, так і для кібербезпеки. Подробиці про банківський троян Nexus Android оприлюднили дослідники Cyble.

Банківський троян Nexus збирає конфіденційну інформацію із заражених пристроїв

Зловмисне програмне забезпечення Nexus отримує контроль над пристроями користувачів, зловживаючи службами доступності Android. Ця законна функція призначена для того, щоб допомогти користувачам легше керувати своїми пристроями шляхом імітації клацань, читання відображеного тексту тощо. Щойно зловмисне програмне забезпечення проникає на пристрій (зазвичай замасковане під законну програму), воно просить користувачів увімкнути служби доступності, який може взаємодіяти з машиною різними способами.

Отримавши контроль над Службами доступності, Nexus може підвищити свої привілеї та надати собі додаткові дозволи, зокрема можливість заборонити користувачам вимикати Служби доступності та деактивувати Google Play Protect та інші заходи захисту паролів.

Nexus збирає різноманітну інформацію про пристрій, зокрема модель телефону, версію ОС, IMEI, стан акумулятора, IP-адресу (геолокацію), ідентифікатор SIM-карти, номер телефону та дані мобільної мережі. Зловмисне програмне забезпечення націлено на понад сорок популярних банківських програм, перевіряючи список програм, встановлених на пристрої, і завантажуючи відповідний HTML-код для кожної банківської програми. Цей код створює фальшиве накладання, яке активується, коли користувач взаємодіє з законним банківським додатком, і пропонує користувачеві ввести свої облікові дані для входу.

Коли користувач вводить свої облікові дані, зловмисне програмне забезпечення надсилає їх зловмисникам, надаючи їм доступ до банківського рахунку користувача. Оскільки зловмисне програмне забезпечення здатне перешкодити користувачеві вимкнути служби доступності, воно може продовжувати збирати конфіденційну інформацію та скомпрометувати пристрій користувача.

Банківський троян Nexus отримує контроль над зламаними пристроями

Троян Nexus — це зловмисне програмне забезпечення, яке має різні функції, які допомагають контролювати конфіденційний вміст, особливо банківські рахунки. Однією з його ключових можливостей є можливість записувати натискання клавіш (клавіатурний журнал), який можна використовувати для отримання облікових даних для входу та іншої конфіденційної інформації.

Крім того, Nexus також може керувати SMS-повідомленнями, дзвінками та сповіщеннями. Він може читати, перехоплювати, приховувати, видаляти та навіть надсилати текстові повідомлення на певні номери або на всі контакти. Це дозволяє йому отримувати OTP та 2FA/MFA, надіслані через текстові повідомлення, а також інформацію від Google Authenticator.

Nexus також може здійснювати приховані телефонні дзвінки та переадресовувати їх, а також змінювати контактну інформацію. Це означає, що його можна використовувати для зловмисного програмного забезпечення Toll Fraud. Він може надсилати повідомлення всім контактам, що може призвести до поширення спам-повідомлень SMS.

Крім того, троян може керувати сповіщеннями, зчитуючи, перехоплюючи, приховуючи та навіть показуючи підроблені. Він також може перевіряти запущені процеси, видаляти програми, відкривати додатки, блокувати/розблоковувати пристрій, вимикати/вмикати звук, відкривати URL-адреси через браузери, показувати накладки підроблених системних сповіщень, отримувати списки облікових записів користувачів і отримувати облікові дані та баланси для криптовалютних гаманців.

Nexus також може читати та видаляти файли з під’єднаного зовнішнього сховища, що може бути використано для зараження ланцюга шляхом ін’єкції додаткового шкідливого вмісту на пристрої. Хоча наразі він, здається, використовується в основному для отримання пакетів ін’єкцій HTML для банківських додатків, він потенційно може бути змінений для зараження пристроїв додатковим шкідливим програмним забезпеченням, таким як програми-вимагачі.