Nexus 銀行木馬

Nexus 銀行木馬是一種針對 Android 操作系統的移動惡意軟件。該威脅本質上是先前識別和跟踪的 SOVA 銀行木馬的更名版本。它的主要目標是從受害者受感染的設備中竊取銀行和財務信息。但是，它還具有各種惡意功能，使其成為更嚴重的威脅。

Nexus 可以執行諸如竊取其他應用程序的登錄憑據、錄製音頻和截屏等操作。這種類型的惡意軟件還可以執行間諜軟件功能，例如訪問存儲在設備上的聯繫人、消息和其他敏感信息。因此，它對個人隱私和網絡安全都構成了重大威脅。 Cyble 的研究人員向公眾發布了有關 Nexus Android 銀行木馬的詳細信息。

Nexus 銀行木馬從受感染的設備中獲取敏感信息

Nexus 惡意軟件通過濫用 Android 輔助功能服務來控制用戶的設備。此合法功能旨在通過模擬點擊、閱讀顯示的文本等方式幫助用戶更輕鬆地操作他們的設備。一旦惡意軟件滲透到設備（通常偽裝成合法應用程序），它會要求用戶啟用輔助功能服務，它可以以各種方式與機器交互。

在獲得對無障礙服務的控制權後，Nexus 可以提升其特權並授予自己額外的權限，包括阻止用戶禁用無障礙服務和停用 Google Play Protect 以及其他密碼安全措施的能力。

Nexus 收集各種設備信息，包括手機型號、操作系統版本、IMEI、電池狀態、IP 地址（地理位置）、SIM 卡 ID、電話號碼和移動網絡數據。該惡意軟件專門針對四十多種流行的銀行應用程序，檢查設備上安裝的應用程序列表並為每個銀行應用程序下載適當的 HTML 注入代碼。此代碼會創建一個偽造的覆蓋層，當用戶與合法銀行應用程序交互時會觸發該覆蓋層，並提示用戶輸入他們的登錄憑據。

一旦用戶輸入他們的登錄憑據，惡意軟件就會將其發送給攻擊者，使他們能夠訪問用戶的銀行賬戶。由於惡意軟件能夠阻止用戶禁用輔助功能服務，因此它可以繼續收集敏感信息並危害用戶的設備。

Nexus 銀行木馬控制了被入侵的設備

Nexus 木馬是一種惡意軟件，具有多種功能，可幫助它控制敏感內容，尤其是銀行賬戶。其關鍵功能之一是能夠記錄擊鍵（鍵盤記錄），可用於捕獲登錄憑據和其他敏感信息。

此外，Nexus 還可以管理短信、電話和通知。它可以讀取、攔截、隱藏、刪除，甚至可以向特定號碼或所有聯繫人發送短信。這允許它獲取通過短信發送的 OTP 和 2FA/MFA，以及來自 Google Authenticator 的信息。

Nexus 還可以進行秘密電話呼叫並轉接電話，以及更改聯繫信息。這意味著它可以用於收費欺詐惡意軟件。它可以向所有聯繫人發送消息，這可能會導致垃圾短信的氾濫。

此外，該木馬還可以通過讀取、攔截、隱藏甚至顯示虛假通知來管理通知。它還可以檢查正在運行的進程、刪除程序、打開應用程序、鎖定/解鎖設備、靜音/取消靜音、通過瀏覽器打開 URL、顯示虛假系統警報覆蓋、獲取用戶帳戶列表以及獲取加密貨幣錢包的登錄憑據和余額。

Nexus 還可以從連接的外部存儲中讀取和刪除文件，這可用於通過向設備註入額外的惡意內容來引起連鎖感染。雖然目前它似乎主要用於獲取銀行應用程序的 HTML 注入包，但它可能會被更改為使用其他惡意軟件（例如勒索軟件）感染設備。