Trojan Android của Nexus

Một Trojan ngân hàng Android mới nổi được gọi là 'Nexus' đã được thêm vào các công cụ độc hại của một số tác nhân đe dọa. Tội phạm mạng đã sử dụng mối đe dọa này để nhắm mục tiêu vào khoảng 450 ứng dụng tài chính và thực hiện các hoạt động lừa đảo.

Theo cơ quan an ninh mạng của Ý, người đã công bố báo cáo về mối đe dọa này, Nexus dường như đang trong giai đoạn phát triển ban đầu. Tuy nhiên, Trojan cung cấp tất cả các tính năng cần thiết để tiến hành các cuộc tấn công chiếm đoạt tài khoản (ATO) đối với các cổng ngân hàng và dịch vụ tiền điện tử, chẳng hạn như đánh cắp thông tin đăng nhập và chặn tin nhắn SMS. Các khả năng độc hại của Nexus khiến nó trở thành một trojan ngân hàng tinh vi và nguy hiểm có thể gây ra thiệt hại tài chính đáng kể cho các nạn nhân của nó. Nexus được thiết kế đặc biệt để thỏa hiệp các thiết bị Android.

Trojan ngân hàng Nexus được cung cấp dưới dạng dịch vụ đăng ký

Trojan ngân hàng Nexus được phát hiện được rao bán trên các diễn đàn hack khác nhau với giá 3.000 đô la mỗi tháng dưới dạng chương trình MaaS (Malware-as-a-Service). Tuy nhiên, có bằng chứng cho thấy trojan có thể đã được triển khai trong các cuộc tấn công trong thế giới thực ngay từ tháng 6 năm 2022, ít nhất sáu tháng trước khi có thông báo chính thức trên các cổng darknet.

Tác giả phần mềm độc hại đã xác nhận rằng phần lớn các trường hợp lây nhiễm Nexus đã được báo cáo ở Thổ Nhĩ Kỳ, theo kênh Telegram của chính họ. Hơn nữa, mối đe dọa phần mềm độc hại đã được phát hiện chồng chéo với một Trojan ngân hàng khác có tên SOVA, thực sự sử dụng lại các phần mã nguồn của nó. Trojan Nexus cũng chứa một mô-đun ransomware dường như đang được phát triển tích cực.

Thật thú vị, các tác giả của Nexus đã đặt ra các quy tắc rõ ràng cấm sử dụng phần mềm độc hại của họ ở một số quốc gia, bao gồm Azerbaijan, Armenia, Belarus, Kazakhstan, Kyrgyzstan, Moldova, Nga, Tajikistan, Uzbekistan, Ukraine và Indonesia.

Danh sách mở rộng về các khả năng đe dọa được tìm thấy trong Trojan ngân hàng Nexus

Nexus được thiết kế đặc biệt để giành quyền truy cập trái phép vào tài khoản ngân hàng và tiền điện tử của người dùng bằng cách sử dụng các kỹ thuật khác nhau như tấn công lớp phủ và ghi nhật ký bàn phím. Thông qua các phương pháp này, phần mềm độc hại đánh cắp thông tin đăng nhập của người dùng và các thông tin nhạy cảm khác.

Ngoài các chiến thuật này, phần mềm độc hại có khả năng đọc mã xác thực hai yếu tố (2FA), cả từ tin nhắn SMS và ứng dụng Google Authenticator. Điều này được thực hiện thông qua việc khai thác các dịch vụ trợ năng trong Android.

Hơn nữa, phần mềm độc hại đã được cải tiến với các chức năng mới, chẳng hạn như khả năng xóa các tin nhắn SMS đã nhận, kích hoạt hoặc hủy kích hoạt mô-đun đánh cắp 2FA và tự cập nhật bằng cách giao tiếp định kỳ với máy chủ chỉ huy và kiểm soát (C2). Những tính năng mới này làm cho phần mềm độc hại trở nên nguy hiểm hơn và khó phát hiện hơn.