Nexus 银行木马

Nexus 银行木马是一种针对 Android 操作系统的移动恶意软件。该威胁本质上是先前识别和跟踪的 SOVA 银行木马的更名版本。它的主要目标是从受害者受感染的设备中窃取银行和财务信息。但是，它还具有各种恶意功能，使其成为更严重的威胁。

Nexus 可以执行诸如窃取其他应用程序的登录凭据、录制音频和截屏等操作。这种类型的恶意软件还可以执行间谍软件功能，例如访问存储在设备上的联系人、消息和其他敏感信息。因此，它对个人隐私和网络安全都构成了重大威胁。 Cyble 的研究人员向公众发布了有关 Nexus Android 银行木马的详细信息。

Nexus 银行木马从受感染的设备中获取敏感信息

Nexus 恶意软件通过滥用 Android 辅助功能服务来控制用户的设备。此合法功能旨在通过模拟点击、阅读显示的文本等方式帮助用户更轻松地操作他们的设备。一旦恶意软件渗透到设备（通常伪装成合法应用程序），它会要求用户启用辅助功能服务，它可以以各种方式与机器交互。

在获得对无障碍服务的控制权后，Nexus 可以提升其特权并授予自己额外的权限，包括阻止用户禁用无障碍服务和停用 Google Play Protect 以及其他密码安全措施的能力。

Nexus 收集各种设备信息，包括手机型号、操作系统版本、IMEI、电池状态、IP 地址（地理位置）、SIM 卡 ID、电话号码和移动网络数据。该恶意软件专门针对四十多种流行的银行应用程序，检查设备上安装的应用程序列表并为每个银行应用程序下载适当的 HTML 注入代码。此代码会创建一个伪造的覆盖层，当用户与合法银行应用程序交互时会触发该覆盖层，并提示用户输入他们的登录凭据。

一旦用户输入他们的登录凭据，恶意软件就会将其发送给攻击者，使他们能够访问用户的银行账户。由于恶意软件能够阻止用户禁用辅助功能服务，因此它可以继续收集敏感信息并危害用户的设备。

Nexus 银行木马控制了被入侵的设备

Nexus 木马是一种恶意软件，具有多种功能，可帮助它控制敏感内容，尤其是银行账户。其关键功能之一是能够记录击键（键盘记录），可用于捕获登录凭据和其他敏感信息。

此外，Nexus 还可以管理短信、电话和通知。它可以读取、拦截、隐藏、删除，甚至可以向特定号码或所有联系人发送短信。这允许它获取通过短信发送的 OTP 和 2FA/MFA，以及来自 Google Authenticator 的信息。

Nexus 还可以进行秘密电话呼叫并转接电话，以及更改联系信息。这意味着它可以用于收费欺诈恶意软件。它可以向所有联系人发送消息，这可能会导致垃圾短信的泛滥。

此外，该木马还可以通过读取、拦截、隐藏甚至显示虚假通知来管理通知。它还可以检查正在运行的进程、删除程序、打开应用程序、锁定/解锁设备、静音/取消静音、通过浏览器打开 URL、显示虚假系统警报覆盖、获取用户帐户列表以及获取加密货币钱包的登录凭据和余额。

Nexus 还可以从连接的外部存储中读取和删除文件，这可用于通过向设备注入额外的恶意内容来引起连锁感染。虽然目前它似乎主要用于获取银行应用程序的 HTML 注入包，但它可能会被更改为使用其他恶意软件（例如勒索软件）感染设备。