Nexus 安卓木馬

一種名為“Nexus”的新興 Android 銀行木馬已被添加到多個威脅行為者的惡意工具中。網絡罪犯利用該威脅瞄準了大約 450 個金融應用程序並進行了欺詐活動。

根據發布威脅報告的意大利網絡安全部門稱，Nexus 似乎處於早期開發階段。但是，該木馬提供了對銀行門戶和加密貨幣服務進行帳戶接管 (ATO) 攻擊所需的所有功能，例如竊取登錄憑據和攔截 SMS 消息。 Nexus 的惡意功能使其成為一種複雜而危險的銀行木馬，可能對其受害者造成重大的經濟損失。 Nexus 專為破壞 Android 設備而設計。

Nexus 銀行木馬作為訂閱服務提供

Nexus 銀行木馬被發現以 MaaS（惡意軟件即服務）方案的形式在各種黑客論壇上以每月 3,000 美元的價格出售。然而，有證據表明，該木馬可能早在 2022 年 6 月就已經部署在現實世界的攻擊中，至少比它在暗網門戶網站上正式宣布早了六個月。

根據他們自己的 Telegram 頻道，惡意軟件作者已確認大多數 Nexus 感染都發生在土耳其。此外，該惡意軟件威脅被發現與另一個名為 SOVA 的銀行木馬重疊，實際上重用了其部分源代碼。 Nexus 木馬還包含一個似乎正在積極開發的勒索軟件模塊。

有趣的是，Nexus 的作者制定了明確的規則，禁止在多個國家使用他們的惡意軟件，包括阿塞拜疆、亞美尼亞、白俄羅斯、哈薩克斯坦、吉爾吉斯斯坦、摩爾多瓦、俄羅斯、塔吉克斯坦、烏茲別克斯坦、烏克蘭和印度尼西亞。

Nexus 銀行木馬中發現的威脅功能的擴展列表

Nexus 專門設計用於通過使用覆蓋攻擊和鍵盤記錄等各種技術來未經授權訪問用戶的銀行和加密貨幣帳戶。通過這些方法，惡意軟件竊取了用戶的登錄憑據和其他敏感信息。

除了這些策略之外，該惡意軟件還能夠從 SMS 消息和 Google Authenticator 應用程序中讀取雙因素身份驗證 (2FA) 代碼。這是通過利用 Android 中的輔助功能服務實現的。

此外，該惡意軟件已通過新功能得到增強，例如能夠刪除收到的 SMS 消息、激活或停用 2FA 竊取模塊以及通過定期與命令和控制 (C2) 服務器通信來更新自身。這些新功能使惡意軟件更加危險且難以檢測。