Το Nexus Banking Trojan μπορεί να κλέψει κωδικούς 2FA

Ανακαλύφθηκε ένας νέος τραπεζικός Trojan Android που ονομάζεται Nexus, ο οποίος έχει ήδη χρησιμοποιηθεί από αρκετούς κυβερνοεγκληματίες για να στοχεύσει περίπου 450 οικονομικές εφαρμογές και να εμπλακεί σε δόλιες δραστηριότητες.

Η Cleafy, μια ιταλική εταιρεία κυβερνοασφάλειας, δήλωσε σε μια έκθεση που κυκλοφόρησε αυτή την εβδομάδα ότι το Nexus φαίνεται να βρίσκεται στα πρώτα στάδια ανάπτυξής του, αλλά διαθέτει όλα τα απαραίτητα χαρακτηριστικά για να διεξάγει επιθέσεις κατά της εξαγοράς λογαριασμού (ATO) κατά τραπεζικών πυλών και υπηρεσιών κρυπτονομισμάτων. Για μηνιαία χρέωση 3.000 $, το Trojan διαφημίζεται ως συνδρομητική υπηρεσία για πελάτες και τεκμηριώθηκε για πρώτη φορά από τη Cyble νωρίτερα αυτόν τον μήνα. Το κακόβουλο λογισμικό μπορεί να έχει χρησιμοποιηθεί σε πραγματικές επιθέσεις ήδη από τον Ιούνιο του 2022, παρά το γεγονός ότι ανακοινώθηκε επίσημα στις πύλες του darknet έξι μήνες αργότερα.

Σύμφωνα με τον Rohit Bansal, ερευνητή ασφάλειας, και τους δημιουργούς κακόβουλου λογισμικού στο κανάλι τους στο Telegram, η πλειονότητα των μολύνσεων από το Nexus έχουν αναφερθεί στην Τουρκία. Είναι ενδιαφέρον ότι οι δημιουργοί του Nexus έχουν επιβάλει ρητούς κανονισμούς που απαγορεύουν τη χρήση του κακόβουλου λογισμικού τους σε πολλές χώρες, όπως το Αζερμπαϊτζάν, η Αρμενία, η Λευκορωσία, το Καζακστάν, η Κιργιζία, η Μολδαβία, η Ρωσία, το Τατζικιστάν, το Ουζμπεκιστάν, η Ουκρανία και η Ινδονησία.

Το κακόβουλο λογισμικό έχει τυπικά χαρακτηριστικά τραπεζικού trojan, όπως επιθέσεις επικάλυψης και καταγραφή πληκτρολογίων, για την παραβίαση λογαριασμών που συνδέονται με τραπεζικές υπηρεσίες και υπηρεσίες κρυπτονομισμάτων κλέβοντας τα διαπιστευτήρια των χρηστών. Επιπλέον, έχει τη δυνατότητα ανάγνωσης κωδικών ελέγχου ταυτότητας δύο παραγόντων (2FA) από μηνύματα SMS και την εφαρμογή Google Authenticator χρησιμοποιώντας τις υπηρεσίες προσβασιμότητας του Android. Μπορεί επίσης να αφαιρέσει μηνύματα SMS, να ενεργοποιήσει ή να απενεργοποιήσει τη μονάδα κλοπής 2FA και να ενημερώνεται κάνοντας ping σε έναν διακομιστή εντολών και ελέγχου (C2) σε τακτά χρονικά διαστήματα, μεταξύ άλλων νέων λειτουργιών.

Πώς λειτουργούν τα περισσότερα τραπεζικά Trojans;

Τα περισσότερα τραπεζικά trojans έχουν σχεδιαστεί για να διεισδύουν στον υπολογιστή ή την κινητή συσκευή ενός θύματος και να κλέβουν ευαίσθητες οικονομικές πληροφορίες, όπως διαπιστευτήρια σύνδεσης, αριθμούς πιστωτικών καρτών και άλλα τραπεζικά στοιχεία. Συνήθως λειτουργούν χρησιμοποιώντας διάφορες τακτικές, όπως επιθέσεις phishing, κακόβουλα συνημμένα και λήψεις μολυσμένου λογισμικού.

Μόλις εγκατασταθεί, ο trojan συχνά περιμένει, συλλέγοντας δεδομένα για τις τραπεζικές δραστηριότητες του χρήστη και άλλες ευαίσθητες πληροφορίες, όπως διευθύνσεις email και κωδικούς πρόσβασης. Πολλά τραπεζικά trojans είναι επίσης ικανά να παραβιάζουν συνεδρίες ιστού, κάτι που επιτρέπει στον εισβολέα να αναλάβει τον έλεγχο των διαδικτυακών τραπεζικών δραστηριοτήτων του θύματος.

Ορισμένα τραπεζικά trojans έχουν πιο προηγμένα χαρακτηριστικά, όπως καταγραφή πληκτρολόγησης, λήψη οθόνης και επιθέσεις επικάλυψης. Ένα καταγραφικό πληκτρολόγησης καταγράφει όλα τα πλήκτρα που εισάγονται στο πληκτρολόγιο, τα οποία θα μπορούσαν να περιλαμβάνουν διαπιστευτήρια σύνδεσης και άλλες ευαίσθητες πληροφορίες. Μια λειτουργία καταγραφής οθόνης επιτρέπει στον εισβολέα να καταγράφει την οθόνη του υπολογιστή του χρήστη, ενώ μια επίθεση επικάλυψης περιλαμβάνει τη δημιουργία μιας ψεύτικης σελίδας σύνδεσης που τοποθετείται πάνω από έναν νόμιμο τραπεζικό ιστότοπο.

Συνολικά, ο κύριος στόχος των περισσότερων τραπεζικών trojans είναι να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στους τραπεζικούς λογαριασμούς των θυμάτων και να κλέψουν τα χρήματά τους. Είναι σημαντικό να παραμένετε σε επαγρύπνηση όσον αφορά την ασφάλεια στο διαδίκτυο και να λαμβάνετε μέτρα για την προστασία των συσκευών και των προσωπικών σας στοιχείων.