ネクサス バンキング トロイの木馬は 2FA コードを盗むことができます

Nexus と呼ばれる新しい Android バンキング型トロイの木馬が発見されました。これは、すでに複数のサイバー犯罪者によって約 450 の金融アプリを標的として詐欺行為に利用されています。

イタリアのサイバーセキュリティ企業である Clafy は、今週発表されたレポートで、Nexus は開発の初期段階にあるように見えるが、銀行ポータルや仮想通貨サービスに対するアカウント乗っ取り (ATO) 攻撃を実行するために必要なすべての機能を備えていると述べています。月額 3,000 ドルで、このトロイの木馬はクライアント向けのサブスクリプション サービスとして宣伝されており、今月初めに Cyble によって最初に文書化されました。このマルウェアは、6 か月後にダークネット ポータルで公式に発表されたにもかかわらず、2022 年 6 月には実際の攻撃に使用された可能性があります。

セキュリティ研究者の Rohit Bansal 氏と Telegram チャンネルのマルウェア作成者によると、Nexus 感染の大部分はトルコで報告されています。興味深いことに、Nexus の作成者は、アゼルバイジャン、アルメニア、ベラルーシ、カザフスタン、キルギスタン、モルドバ、ロシア、タジキスタン、ウズベキスタン、ウクライナ、インドネシアなど、いくつかの国でマルウェアの使用を禁止する明確な規制を課しています。

このマルウェアは、オーバーレイ攻撃やキーロギングなどの典型的なバンキング型トロイの木馬の機能を備えており、ユーザーの資格情報を盗むことで、銀行サービスや暗号通貨サービスにリンクされたアカウントをハイジャックします。さらに、Android のアクセシビリティ サービスを使用して、SMS メッセージと Google Authenticator アプリから 2 要素認証 (2FA) コードを読み取る機能があります。また、SMS メッセージの削除、2FA スティーラー モジュールのアクティブ化または無効化、コマンド アンド コントロール (C2) サーバーに定期的に ping を実行することによる自身の更新などの新機能も備えています。

ほとんどのバンキング型トロイの木馬はどのように機能しますか?

ほとんどのバンキング型トロイの木馬は、被害者のコンピューターやモバイル デバイスに侵入し、ログイン資格情報、クレジット カード番号、その他の銀行の詳細などの機密の財務情報を盗むように設計されています。彼らは通常、フィッシング攻撃、悪意のある添付ファイル、感染したソフトウェアのダウンロードなど、いくつかの戦術を利用して動作します。

トロイの木馬がインストールされると、しばしば待ち伏せし、ユーザーの銀行取引に関するデータや、電子メール アドレスやパスワードなどの機密情報を収集します。多くのバンキング型トロイの木馬は、Web セッションをハイジャックすることもできます。これにより、攻撃者は被害者のオンライン バンキング アクティビティを制御できます。

一部のバンキング型トロイの木馬は、キーストローク ロギング、スクリーン キャプチャ、オーバーレイ攻撃など、より高度な機能を備えています。キーストローク ロガーは、キーボードで入力されたすべてのキーストロークを記録します。これには、ログイン資格情報やその他の機密情報が含まれる場合があります。スクリーン キャプチャ機能により、攻撃者はユーザーのコンピュータ画面を記録できます。一方、オーバーレイ攻撃では、正規の銀行 Web サイトの上に偽のログイン ページを重ねて作成することが含まれます。

全体として、ほとんどのバンキング型トロイの木馬の主な目的は、被害者の銀行口座に不正にアクセスしてお金を盗むことです。オンライン セキュリティに関しては警戒を怠らず、デバイスと個人情報を保護するための措置を講じることが重要です。