Nexus Banking Trojos arklys gali pavogti 2FA kodus

Buvo aptiktas naujas „Android“ bankininkystės Trojos arklys „Nexus“, kurį jau panaudojo keli kibernetiniai nusikaltėliai, siekdami nukreipti į maždaug 450 finansinių programų ir užsiimti nesąžininga veikla.

Italijos kibernetinio saugumo įmonė „Cleafy“ šią savaitę paskelbtoje ataskaitoje teigė, kad „Nexus“ yra ankstyvoje kūrimo stadijoje, tačiau turi visas būtinas funkcijas, reikalingas sąskaitos perėmimo (ATO) atakoms prieš bankinius portalus ir kriptovaliutų paslaugas. Už 3000 USD mėnesinį mokestį „Trojos arklys“ reklamuojamas kaip prenumeratos paslauga klientams, o „Cyble“ pirmą kartą ją dokumentavo anksčiau šį mėnesį. Kenkėjiška programinė įranga galėjo būti naudojama tikrosiose atakose jau 2022 m. birželio mėn., nepaisant to, kad po šešių mėnesių ji buvo oficialiai paskelbta „darknet“ portaluose.

Pasak saugumo tyrinėtojo Rohito Bansal ir kenkėjiškų programų autorių savo „Telegram“ kanale, dauguma „Nexus“ infekcijų buvo pranešta Turkijoje. Įdomu tai, kad „Nexus“ kūrėjai įvedė aiškias taisykles, draudžiančias naudoti jų kenkėjiškas programas keliose šalyse, įskaitant Azerbaidžaną, Armėniją, Baltarusiją, Kazachstaną, Kirgiziją, Moldovą, Rusiją, Tadžikistaną, Uzbekistaną, Ukrainą ir Indoneziją.

Kenkėjiška programinė įranga turi tipiškų bankininkystės Trojos arklių funkcijų, tokių kaip perdangos atakos ir klavišų registravimas, kad pavogtų vartotojų kredencialus, užgrobtų paskyras, susietas su bankininkystės ir kriptovaliutų paslaugomis. Be to, naudojant „Android“ pritaikymo neįgaliesiems paslaugas, ji turi galimybę nuskaityti dviejų veiksnių autentifikavimo (2FA) kodus iš SMS žinučių ir „Google Authenticator“ programos. Be kitų naujų funkcijų, jis taip pat gali pašalinti SMS žinutes, suaktyvinti arba išjungti 2FA stealer modulį ir atnaujinti save, reguliariai pinguodamas komandų ir valdymo (C2) serverį.

Kaip veikia dauguma bankinių Trojos arklių?

Dauguma bankinių Trojos arklių yra skirti įsiskverbti į aukos kompiuterį ar mobilųjį įrenginį ir pavogti slaptą finansinę informaciją, pvz., prisijungimo duomenis, kredito kortelių numerius ir kitą banko informaciją. Paprastai jie veikia naudodami kelias taktikas, įskaitant sukčiavimo atakas, kenkėjiškus priedus ir užkrėstos programinės įrangos atsisiuntimus.

Įdiegtas trojos arklys dažnai lauks, rinkdamas duomenis apie vartotojo bankinę veiklą ir kitą slaptą informaciją, pvz., el. pašto adresus ir slaptažodžius. Daugelis bankininkystės Trojos arklių taip pat gali užgrobti žiniatinklio sesijas, todėl užpuolikas gali kontroliuoti aukos internetinės bankininkystės veiklą.

Kai kurie bankininkystės trojos arklys turi daugiau pažangių funkcijų, tokių kaip klavišų paspaudimų registravimas, ekrano fiksavimas ir perdangos atakos. Klavišų paspaudimų registratorius įrašo visus klaviatūra įvestus klavišų paspaudimus, įskaitant prisijungimo kredencialus ir kitą slaptą informaciją. Ekrano fiksavimo funkcija leidžia užpuolikui įrašyti vartotojo kompiuterio ekraną, o perdangos ataka apima netikro prisijungimo puslapio sukūrimą, kuris yra ant teisėtos banko svetainės.

Apskritai, pagrindinis daugumos bankininkystės trojos arklių tikslas yra gauti neteisėtą prieigą prie aukų banko sąskaitų ir pavogti jų pinigus. Svarbu išlikti budriems, kai kalbama apie saugumą internete, ir imtis veiksmų, kad apsaugotumėte savo įrenginius ir asmeninę informaciją.