A Nexus Banking trójai 2FA kódokat lophat

Felfedezték a Nexus nevű új androidos banki trójai programot, amelyet már több kiberbűnöző is felhasznált körülbelül 450 pénzügyi alkalmazás megcélzására és csalárd tevékenységre.

A Cleafy, egy olasz kiberbiztonsági vállalat a héten közzétett jelentésében kijelentette, hogy a Nexus a fejlesztés korai szakaszában jár, de minden szükséges funkcióval rendelkezik a banki portálok és kriptovaluta-szolgáltatások elleni fiókátvételi (ATO) támadásokhoz. A trójai 3000 dolláros havi díjért előfizetéses szolgáltatásként hirdetik az ügyfelek számára, és a Cyble először a hónap elején dokumentálta. A kártevőt már 2022 júniusában használták tényleges támadásokhoz, annak ellenére, hogy hat hónappal később hivatalosan bejelentették a darknet portálokon.

Rohit Bansal biztonsági kutató és a Telegram csatornájuk rosszindulatú programjainak szerzői szerint a Nexus fertőzések többségét Törökországban jelentették. Érdekesség, hogy a Nexus készítői több országban kifejezetten tiltják a rosszindulatú programjaik használatát, köztük Azerbajdzsánban, Örményországban, Fehéroroszországban, Kazahsztánban, Kirgizisztánban, Moldovában, Oroszországban, Tádzsikisztánban, Üzbegisztánban, Ukrajnában és Indonéziában.

A rosszindulatú program tipikus banki trójai funkciókkal rendelkezik, mint például overlay támadások és kulcsnaplózás, amellyel a banki és kriptovaluta szolgáltatásokhoz kapcsolódó számlákat a felhasználók hitelesítő adatainak ellopásával eltérítheti. Ezenkívül képes kétfaktoros hitelesítési (2FA) kódok kiolvasására SMS-üzenetekből és a Google Authenticator alkalmazásból az Android kisegítő szolgáltatásaival. Ezenkívül eltávolíthatja az SMS üzeneteket, aktiválhatja vagy letilthatja a 2FA stealer modult, és frissítheti magát egy parancs- és vezérlő (C2) szerver rendszeres időközönkénti pingelésével, többek között az új funkciók mellett.

Hogyan működik a legtöbb banki trójai?

A legtöbb banki trójai úgy készült, hogy behatoljon az áldozat számítógépére vagy mobileszközére, és érzékeny pénzügyi információkat, például bejelentkezési adatokat, hitelkártyaszámokat és egyéb banki adatokat lopjon el. Általában többféle taktika felhasználásával működnek, beleértve az adathalász támadásokat, a rosszindulatú mellékleteket és a fertőzött szoftverletöltéseket.

A telepítés után a trójai gyakran lesben áll, adatokat gyűjt a felhasználó banki tevékenységeiről és egyéb érzékeny információkat, például e-mail címeket és jelszavakat. Számos banki trójai képes a webes munkamenetek eltérítésére is, ami lehetővé teszi a támadó számára, hogy átvegye az irányítást az áldozat online banki tevékenysége felett.

Egyes banki trójaiak fejlettebb funkciókkal rendelkeznek, mint például a billentyűleütések naplózása, a képernyőrögzítés és az overlay támadások. A billentyűleütés-naplózó rögzíti a billentyűzeten beírt összes billentyűleütést, beleértve a bejelentkezési adatokat és más bizalmas információkat is. A képernyőrögzítés funkció lehetővé teszi a támadó számára, hogy rögzítse a felhasználó számítógépének képernyőjét, míg az overlay támadás egy hamis bejelentkezési oldal létrehozását jelenti, amely egy legitim banki webhely tetejére kerül.

Összességében a legtöbb banki trójai fő célja az, hogy illetéktelenül hozzáférjenek az áldozatok bankszámláihoz, és ellopják pénzüket. Fontos, hogy legyen éber az online biztonság terén, és tegyen lépéseket eszközei és személyes adatai védelme érdekében.