Nexus Banking Trojan kan stjæle 2FA-koder

En ny Android-banktrojaner kaldet Nexus er blevet opdaget, som allerede er blevet brugt af adskillige cyberkriminelle til at målrette omkring 450 finansielle apps og deltage i svigagtige aktiviteter.

Cleafy, et italiensk cybersikkerhedsfirma, udtalte i en rapport udgivet i denne uge, at Nexus ser ud til at være i sine tidlige udviklingsstadier, men har alle de nødvendige funktioner til at udføre Account Takeover (ATO)-angreb mod bankportaler og cryptocurrency-tjenester. For et månedligt gebyr på $3.000 annonceres trojaneren som en abonnementstjeneste for kunder, og den blev først dokumenteret af Cyble tidligere på måneden. Malwaren kan være blevet brugt i egentlige angreb allerede i juni 2022, på trods af at den officielt blev annonceret på darknet-portaler seks måneder senere.

Ifølge Rohit Bansal, en sikkerhedsforsker, og malware-forfatterne i deres Telegram-kanal, er størstedelen af Nexus-infektioner blevet rapporteret i Tyrkiet. Interessant nok har Nexus-skaberne indført eksplicitte regler, der forbyder brugen af deres malware i flere lande, herunder Aserbajdsjan, Armenien, Hviderusland, Kasakhstan, Kirgisistan, Moldova, Rusland, Tadsjikistan, Usbekistan, Ukraine og Indonesien.

Malwaren har typiske banktrojanske funktioner, såsom overlejringsangreb og keylogging, til at kapre konti knyttet til bank- og kryptovalutatjenester ved at stjæle brugernes legitimationsoplysninger. Derudover har den mulighed for at læse to-faktor-godkendelseskoder (2FA) fra SMS-beskeder og Google Authenticator-appen ved hjælp af Androids tilgængelighedstjenester. Den kan også fjerne SMS-beskeder, aktivere eller deaktivere 2FA-styvermodulet og opdatere sig selv ved at pinge en kommando-og-kontrol-server (C2) med jævne mellemrum, blandt andre nye funktioner.

Hvordan fungerer de fleste banktrojanske heste?

De fleste banktrojanske heste er designet til at infiltrere et offers computer eller mobile enhed og stjæle følsomme finansielle oplysninger såsom loginoplysninger, kreditkortnumre og andre bankoplysninger. De fungerer typisk ved at bruge flere taktikker, herunder phishing-angreb, ondsindede vedhæftede filer og inficerede softwaredownloads.

Når først den er installeret, vil trojaneren ofte ligge på lur og indsamle data om brugerens bankaktiviteter og andre følsomme oplysninger, såsom e-mailadresser og adgangskoder. Mange banktrojanske heste er også i stand til at kapre websessioner, hvilket giver angriberen mulighed for at tage kontrol over ofrets netbankaktiviteter.

Nogle banktrojanske heste har mere avancerede funktioner såsom tastetrykslogning, skærmfangst og overlejringsangreb. En tastetrykslogger registrerer alle tastetryk indtastet på tastaturet, hvilket kan omfatte login-legitimationsoplysninger og andre følsomme oplysninger. En skærmoptagelsesfunktion gør det muligt for angriberen at optage brugerens computerskærm, mens et overlejringsangreb involverer oprettelse af en falsk login-side, der er overlejret oven på et legitimt bankwebsted.

Overordnet set er hovedmålet for de fleste banktrojanske heste at få uautoriseret adgang til ofrenes bankkonti og stjæle deres penge. Det er vigtigt at forblive på vagt, når det kommer til online sikkerhed, og at tage skridt til at beskytte dine enheder og personlige oplysninger.