Le cheval de Troie bancaire Nexus peut voler des codes 2FA
Un nouveau cheval de Troie bancaire Android appelé Nexus a été découvert, qui a déjà été utilisé par plusieurs cybercriminels pour cibler environ 450 applications financières et se livrer à des activités frauduleuses.
Cleafy, une société italienne de cybersécurité, a déclaré dans un rapport publié cette semaine que Nexus semble en être à ses premiers stades de développement mais possède toutes les fonctionnalités nécessaires pour mener des attaques de prise de contrôle de compte (ATO) contre des portails bancaires et des services de crypto-monnaie. Pour un tarif mensuel de 3 000 $, le cheval de Troie est annoncé comme un service d'abonnement pour les clients, et il a été documenté pour la première fois par Cyble au début du mois. Le malware a peut-être été utilisé dans des attaques réelles dès juin 2022, bien qu'il ait été officiellement annoncé sur les portails darknet six mois plus tard.
Selon Rohit Bansal, chercheur en sécurité, et les auteurs de logiciels malveillants de leur chaîne Telegram, la majorité des infections Nexus ont été signalées en Turquie. Fait intéressant, les créateurs de Nexus ont imposé des réglementations explicites interdisant l'utilisation de leurs logiciels malveillants dans plusieurs pays, dont l'Azerbaïdjan, l'Arménie, la Biélorussie, le Kazakhstan, le Kirghizistan, la Moldavie, la Russie, le Tadjikistan, l'Ouzbékistan, l'Ukraine et l'Indonésie.
Le logiciel malveillant possède des fonctionnalités typiques de cheval de Troie bancaire, telles que les attaques par superposition et l'enregistrement de frappe, pour détourner les comptes liés aux services bancaires et de crypto-monnaie en volant les informations d'identification des utilisateurs. De plus, il a la capacité de lire les codes d'authentification à deux facteurs (2FA) des messages SMS et de l'application Google Authenticator à l'aide des services d'accessibilité d'Android. Il peut également supprimer les messages SMS, activer ou désactiver le module de vol 2FA et se mettre à jour en envoyant un ping à un serveur de commande et de contrôle (C2) à intervalles réguliers, entre autres nouvelles fonctions.
Comment fonctionnent la plupart des chevaux de Troie bancaires ?
La plupart des chevaux de Troie bancaires sont conçus pour infiltrer l'ordinateur ou l'appareil mobile d'une victime et voler des informations financières sensibles telles que les identifiants de connexion, les numéros de carte de crédit et d'autres informations bancaires. Ils fonctionnent généralement en utilisant plusieurs tactiques, notamment des attaques de phishing, des pièces jointes malveillantes et des téléchargements de logiciels infectés.
Une fois installé, le cheval de Troie reste souvent à l'affût, collectant des données sur les activités bancaires de l'utilisateur et d'autres informations sensibles, telles que les adresses e-mail et les mots de passe. De nombreux chevaux de Troie bancaires sont également capables de détourner des sessions Web, ce qui permet à l'attaquant de prendre le contrôle des activités bancaires en ligne de la victime.
Certains chevaux de Troie bancaires ont des fonctionnalités plus avancées telles que la journalisation des frappes, la capture d'écran et les attaques par superposition. Un enregistreur de frappe enregistre toutes les frappes saisies sur le clavier, ce qui peut inclure les identifiants de connexion et d'autres informations sensibles. Une fonction de capture d'écran permet à l'attaquant d'enregistrer l'écran de l'ordinateur de l'utilisateur, tandis qu'une attaque par superposition consiste à créer une fausse page de connexion qui se superpose à un site Web bancaire légitime.
Dans l'ensemble, l'objectif principal de la plupart des chevaux de Troie bancaires est d'obtenir un accès non autorisé aux comptes bancaires des victimes et de voler leur argent. Il est important de rester vigilant en matière de sécurité en ligne et de prendre des mesures pour protéger vos appareils et vos informations personnelles.
