Nexus 安卓木马

一种名为“Nexus”的新兴 Android 银行木马已被添加到多个威胁行为者的恶意工具中。网络罪犯利用该威胁瞄准了大约 450 个金融应用程序并进行了欺诈活动。

根据发布威胁报告的意大利网络安全部门称，Nexus 似乎处于早期开发阶段。但是，该木马提供了对银行门户和加密货币服务进行帐户接管 (ATO) 攻击所需的所有功能，例如窃取登录凭据和拦截 SMS 消息。 Nexus 的恶意功能使其成为一种复杂而危险的银行木马，可能对其受害者造成重大的经济损失。 Nexus 专为破坏 Android 设备而设计。

Nexus 银行木马作为订阅服务提供

Nexus 银行木马被发现以 MaaS（恶意软件即服务）方案的形式在各种黑客论坛上以每月 3,000 美元的价格出售。然而，有证据表明，该木马可能早在 2022 年 6 月就已经部署在现实世界的攻击中，至少比它在暗网门户网站上正式宣布早了六个月。

根据他们自己的 Telegram 频道，恶意软件作者已确认大多数 Nexus 感染都发生在土耳其。此外，该恶意软件威胁被发现与另一个名为 SOVA 的银行木马重叠，实际上重用了其部分源代码。 Nexus 木马还包含一个似乎正在积极开发的勒索软件模块。

有趣的是，Nexus 的作者制定了明确的规则，禁止在多个国家使用他们的恶意软件，包括阿塞拜疆、亚美尼亚、白俄罗斯、哈萨克斯坦、吉尔吉斯斯坦、摩尔多瓦、俄罗斯、塔吉克斯坦、乌兹别克斯坦、乌克兰和印度尼西亚。

Nexus 银行木马中发现的威胁功能的扩展列表

Nexus 专门设计用于通过使用覆盖攻击和键盘记录等各种技术来未经授权访问用户的银行和加密货币帐户。通过这些方法，恶意软件窃取了用户的登录凭据和其他敏感信息。

除了这些策略之外，该恶意软件还能够从 SMS 消息和 Google Authenticator 应用程序中读取双因素身份验证 (2FA) 代码。这是通过利用 Android 中的辅助功能服务实现的。

此外，该恶意软件已通过新功能得到增强，例如能够删除收到的 SMS 消息、激活或停用 2FA 窃取模块以及通过定期与命令和控制 (C2) 服务器通信来更新自身。这些新功能使恶意软件更加危险且难以检测。