Giảm giá nhiều giấy phép
Threat Database Mobile Malware Trojan ngân hàng Nexus

Trojan ngân hàng Nexus

Đến năm Mezo năm Mobile Malware, Banking Trojan
Dịch sang:
Tiếng Việt Nam

Trojan ngân hàng Nexus là một loại phần mềm độc hại di động nhắm mục tiêu Hệ điều hành Android. Mối đe dọa về cơ bản là một phiên bản đổi thương hiệu của trojan ngân hàng SOVA đã được xác định và theo dõi trước đó. Mục tiêu chính của nó là đánh cắp thông tin tài chính và ngân hàng từ các thiết bị bị nhiễm của nạn nhân. Tuy nhiên, nó cũng có nhiều tính năng độc hại khiến nó trở thành một mối đe dọa đáng kể hơn.

Nexus có thể thực hiện các hành động như đánh cắp thông tin xác thực đăng nhập cho các ứng dụng khác, ghi âm và chụp ảnh màn hình. Loại phần mềm độc hại này cũng có thể thực hiện các chức năng của phần mềm gián điệp như truy cập danh bạ, tin nhắn và các thông tin nhạy cảm khác được lưu trữ trên thiết bị. Do đó, nó đặt ra một mối đe dọa đáng kể đối với cả quyền riêng tư cá nhân và an ninh mạng. Các chi tiết về trojan ngân hàng Nexus Android đã được các nhà nghiên cứu tại Cyble công bố ra công chúng.

Trojan ngân hàng Nexus thu thập thông tin nhạy cảm từ các thiết bị bị nhiễm

Phần mềm độc hại Nexus giành quyền kiểm soát thiết bị của người dùng bằng cách lạm dụng Dịch vụ trợ năng của Android. Tính năng hợp pháp này nhằm mục đích hỗ trợ người dùng vận hành thiết bị của họ dễ dàng hơn bằng cách mô phỏng các lần nhấp, đọc văn bản hiển thị, v.v. Sau khi phần mềm độc hại xâm nhập vào thiết bị (thường được ngụy trang dưới dạng ứng dụng hợp pháp), nó sẽ yêu cầu người dùng bật Dịch vụ trợ năng, có thể tương tác với máy theo nhiều cách khác nhau.

Sau khi giành quyền kiểm soát Dịch vụ trợ năng, Nexus có thể nâng cấp các đặc quyền của mình và tự cấp thêm quyền, bao gồm khả năng ngăn người dùng tắt Dịch vụ trợ năng và tắt Google Play Protect cũng như các biện pháp bảo mật mật khẩu khác.

Nexus thu thập nhiều thông tin thiết bị khác nhau, bao gồm kiểu điện thoại, phiên bản hệ điều hành, IMEI, trạng thái pin, địa chỉ IP (vị trí địa lý), ID thẻ SIM, số điện thoại và dữ liệu mạng di động. Phần mềm độc hại nhắm mục tiêu cụ thể hơn 40 ứng dụng ngân hàng phổ biến, kiểm tra danh sách các ứng dụng được cài đặt trên thiết bị và tải xuống mã chèn HTML thích hợp cho từng ứng dụng ngân hàng. Mã này tạo lớp phủ giả, được kích hoạt khi người dùng tương tác với ứng dụng ngân hàng hợp pháp và nhắc người dùng nhập thông tin đăng nhập của họ.

Sau khi người dùng nhập thông tin đăng nhập của họ, phần mềm độc hại sẽ gửi chúng cho những kẻ tấn công, cho phép chúng truy cập vào tài khoản ngân hàng của người dùng. Vì phần mềm độc hại có thể ngăn người dùng tắt Dịch vụ trợ năng nên phần mềm độc hại có thể tiếp tục thu thập thông tin nhạy cảm và xâm phạm thiết bị của người dùng.

Trojan ngân hàng Nexus giành quyền kiểm soát các thiết bị bị xâm phạm

Trojan Nexus là một phần mềm độc hại có nhiều chức năng khác nhau giúp nó giành quyền kiểm soát nội dung nhạy cảm, đặc biệt là các tài khoản ngân hàng. Một trong những khả năng chính của nó là khả năng ghi lại các lần gõ phím (keylogging) có thể được sử dụng để nắm bắt thông tin đăng nhập và thông tin nhạy cảm khác.

Ngoài ra, Nexus cũng có thể quản lý tin nhắn SMS, cuộc gọi và thông báo. Nó có thể đọc, chặn, ẩn, xóa và thậm chí gửi tin nhắn văn bản đến các số cụ thể hoặc tất cả các số liên lạc. Điều này cho phép nó nhận được OTP và 2FA/MFA được gửi qua tin nhắn văn bản, cũng như thông tin từ Google Authenticator.

Nexus cũng có thể thực hiện và chuyển tiếp các cuộc gọi lén lút, cũng như thay đổi thông tin liên hệ. Điều này có nghĩa là nó có thể được sử dụng cho phần mềm độc hại Toll Fraud. Nó có thể gửi tin nhắn đến tất cả các địa chỉ liên hệ, điều này có thể dẫn đến sự gia tăng của các tin nhắn SMS rác.

Hơn nữa, trojan có thể quản lý thông báo bằng cách đọc, chặn, ẩn và thậm chí hiển thị thông báo giả mạo. Nó cũng có thể kiểm tra các tiến trình đang chạy, xóa chương trình, mở ứng dụng, khóa/mở khóa thiết bị, tắt tiếng/bật tiếng âm thanh, mở URL qua trình duyệt, hiển thị lớp phủ cảnh báo hệ thống giả mạo, lấy danh sách tài khoản người dùng cũng như lấy thông tin đăng nhập và số dư cho ví tiền điện tử.

Nexus cũng có thể đọc và xóa các tệp khỏi bộ nhớ ngoài được kết nối, có thể được sử dụng để gây lây nhiễm chuỗi bằng cách đưa thêm nội dung độc hại vào thiết bị. Mặc dù hiện tại, nó dường như được sử dụng chủ yếu để lấy các gói chèn HTML cho các ứng dụng ngân hàng, nhưng nó có khả năng bị thay đổi để lây nhiễm phần mềm độc hại bổ sung cho các thiết bị, chẳng hạn như ransomware.

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,882
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...