Włoska firma zajmująca się cyberbezpieczeństwem, Cleafy, odkryła trojana Nexus Android, który może przejąć kontrolę nad kontami internetowymi i wypłacić z nich środki. Stwierdzono, że Nexus jest skierowany do klientów z 450 banków i usług kryptowalutowych na całym świecie.
Po raz pierwszy został zaobserwowany w czerwcu 2022 r. jako wariant innego trojana bankowego dla Androida o nazwie SOVA. Od tego czasu Nexus poprawił swoje możliwości targetowania i jest dostępny za pośrednictwem programu złośliwego oprogramowania jako usługi za 3000 USD miesięcznie. Złośliwe oprogramowanie umożliwia innym atakującym wypożyczanie lub subskrybowanie go w celu ataków osobistych.
Według raport Cleafy’ego, na całym świecie aktywnych jest wiele kampanii, co potwierdza, że wielu cyberprzestępców już wykorzystuje ten wątek do prowadzenia oszukańczych kampanii. Nexus stosuje kilka technik przejmowania konta, w tym wykonywanie nakładanie ataków i rejestrowanie naciśnięć klawiszy w celu kradzieży danych uwierzytelniających użytkownika.
Kiedy klient docelowej aplikacji bankowej lub kryptowaluty korzysta z zainfekowanego urządzenia z Androidem, Nexus przekierowuje go na stronę udającą prawdziwą stronę logowania do aplikacji i przechwytuje dane uwierzytelniające ofiary za pomocą wbudowany keylogger.
Jak działa trojan Nexus dla Androida?
Podobnie jak wiele trojanów bankowych, trojan Nexus dla systemu Android może uzyskiwać dostęp do kont internetowych poprzez przechwytywanie kodów uwierzytelniania dwuskładnikowego z wiadomości SMS. Stwierdzono również, że trojan kradnie seedów i informacji o saldzie z portfeli kryptowalutpliki cookie z witryn docelowych oraz kody dwuskładnikowe aplikacji Google Authenticator korzystającej z funkcji „Usługi ułatwień dostępu” systemu Android.
Cleafy odkrył, że Nexus Android Trojan rozwinął nowe możliwości, w tym możliwość usuwania otrzymanych uwierzytelniających wiadomości SMS, zatrzymywania lub aktywacji modułu dla kradzież kodów Google Authenticator 2FAa także okresowo sprawdzać własny serwer dowodzenia i kontroli pod kątem aktualizacji i automatycznie instalować wszelkie dostępne aktualizacje.
Pomimo swojej wszechstronności w zakresie przejmowania kont i globalnego zasięgu, Cleafy określa trojana Nexus dla Androida jako „pracę w toku”. Wynika to głównie z obecności ciągów debugowania i braku odniesień do użycia w niektórych modułach szkodliwego oprogramowania.
Stosunkowo duża liczba komunikatów logowania w kodzie sugeruje nieodpowiednie śledzenie i raportowanie działań złośliwego oprogramowania. Ponadto obecna wersja szkodliwego oprogramowania nie zawiera modułu Virtual Network Computing (VNC) umożliwiającego całkowite zdalne przejęcie kontroli nad urządzeniem zainfekowanym Nexusem. The Moduł VNC umożliwia cyberprzestępcom przeprowadzanie oszustw na urządzeniuktóre jest jednym z najniebezpieczniejszych rodzajów oszustw, ponieważ przelewy pieniężne są inicjowane z tego samego urządzenia, z którego codziennie korzystają ofiary.
Jak zauważył Cleafy, moduł, który wciąż jest w fazie rozwoju, wydaje się mieć możliwości szyfrowania głównie w celu zaciemnienia po całkowitym przejęciu konta.
Ogólnie rzecz biorąc, Nexus Android Trojan to niebezpieczny trojan, który był już używany w wielu oszukańczych kampaniach. Choć prace nad złośliwym oprogramowaniem wciąż trwają, już pokazały swoje możliwości przejmowania kont i globalnego zasięgu, co czyni je poważnym zagrożeniem dla użytkowników bankowości mobilnej i kryptowalut.
W dzisiejszych czasach, szczególnie przy rosnącej popularności walut cyfrowych, bardzo ważne jest, aby chronić się przed takimi wirusami i trojanami. Ostatnio popularny kanał YouTube Linus Tech Tips został zhakowany, a hakerzy próbowali dokonać pewnego rodzaju oszustwa kryptograficznego, wykorzystując zdjęcie Elona Muska.
Source: Nexus Android Trojan skupia się na twoich kryptowalutowych portfelach
