Nexus-Banking-Trojaner kann 2FA-Codes stehlen

Ein neuer Android-Banking-Trojaner namens Nexus wurde entdeckt, der bereits von mehreren Cyberkriminellen genutzt wurde, um etwa 450 Finanz-Apps anzugreifen und sich an betrügerischen Aktivitäten zu beteiligen.

Cleafy, ein italienisches Cybersicherheitsunternehmen, erklärte in einem diese Woche veröffentlichten Bericht, dass sich Nexus in einem frühen Entwicklungsstadium zu befinden scheint, aber über alle notwendigen Funktionen verfügt, um Account Takeover (ATO)-Angriffe gegen Bankportale und Kryptowährungsdienste durchzuführen. Für eine monatliche Gebühr von 3.000 US-Dollar wird der Trojaner als Abonnementdienst für Kunden beworben und Anfang dieses Monats erstmals von Cyble dokumentiert. Die Malware wurde möglicherweise bereits im Juni 2022 bei tatsächlichen Angriffen verwendet, obwohl sie sechs Monate später offiziell auf Darknet-Portalen angekündigt wurde.

Laut Rohit Bansal, einem Sicherheitsforscher, und den Malware-Autoren in ihrem Telegram-Kanal wurden die meisten Nexus-Infektionen in der Türkei gemeldet. Interessanterweise haben die Entwickler von Nexus explizite Vorschriften erlassen, die die Verwendung ihrer Malware in mehreren Ländern verbieten, darunter Aserbaidschan, Armenien, Weißrussland, Kasachstan, Kirgisistan, Moldawien, Russland, Tadschikistan, Usbekistan, Ukraine und Indonesien.

Die Malware verfügt über typische Banking-Trojaner-Funktionen wie Overlay-Angriffe und Keylogging, um Konten zu kapern, die mit Bank- und Kryptowährungsdiensten verbunden sind, indem sie die Anmeldeinformationen der Benutzer stiehlt. Darüber hinaus hat es die Möglichkeit, Zwei-Faktor-Authentifizierungscodes (2FA) aus SMS-Nachrichten und der Google Authenticator-App mithilfe der Eingabehilfen von Android zu lesen. Neben anderen neuen Funktionen kann es auch SMS-Nachrichten entfernen, das 2FA-Stealer-Modul aktivieren oder deaktivieren und sich selbst aktualisieren, indem es in regelmäßigen Abständen einen Command-and-Control (C2)-Server anpingt.

Wie funktionieren die meisten Banking-Trojaner?

Die meisten Banking-Trojaner sind darauf ausgelegt, den Computer oder das mobile Gerät eines Opfers zu infiltrieren und vertrauliche Finanzinformationen wie Anmeldeinformationen, Kreditkartennummern und andere Bankdaten zu stehlen. Sie arbeiten normalerweise mit mehreren Taktiken, darunter Phishing-Angriffe, bösartige Anhänge und infizierte Software-Downloads.

Einmal installiert, lauert der Trojaner oft auf der Lauer und sammelt Daten über die Bankaktivitäten des Benutzers und andere sensible Informationen wie E-Mail-Adressen und Passwörter. Viele Banking-Trojaner sind auch in der Lage, Websitzungen zu kapern, wodurch der Angreifer die Kontrolle über die Online-Banking-Aktivitäten des Opfers übernehmen kann.

Einige Banking-Trojaner verfügen über fortschrittlichere Funktionen wie Tastendruckprotokollierung, Bildschirmerfassung und Overlay-Angriffe. Ein Tastenanschlag-Logger zeichnet alle auf der Tastatur eingegebenen Tastenanschläge auf, die Anmeldeinformationen und andere vertrauliche Informationen enthalten können. Eine Bildschirmaufnahmefunktion ermöglicht es dem Angreifer, den Computerbildschirm des Benutzers aufzuzeichnen, während ein Overlay-Angriff darin besteht, eine gefälschte Anmeldeseite zu erstellen, die über eine legitime Banking-Website gelegt wird.

Insgesamt besteht das Hauptziel der meisten Banking-Trojaner darin, unbefugten Zugriff auf die Bankkonten der Opfer zu erlangen und ihr Geld zu stehlen. Es ist wichtig, in Bezug auf die Online-Sicherheit wachsam zu bleiben und Maßnahmen zum Schutz Ihrer Geräte und persönlichen Daten zu ergreifen.