Nexus Banking Trojan kan stjele 2FA-koder
En ny Android-banktrojaner kalt Nexus har blitt oppdaget, som allerede har blitt brukt av flere nettkriminelle for å målrette mot omtrent 450 finansielle apper og engasjere seg i uredelige aktiviteter.
Cleafy, et italiensk cybersikkerhetsselskap, uttalte i en rapport utgitt denne uken at Nexus ser ut til å være i sine tidlige utviklingsstadier, men har alle nødvendige funksjoner for å utføre kontoovertakelse (ATO) mot bankportaler og kryptovalutatjenester. For en månedlig avgift på $3000 annonseres trojaneren som en abonnementstjeneste for klienter, og den ble først dokumentert av Cyble tidligere denne måneden. Skadevaren kan ha blitt brukt i faktiske angrep allerede i juni 2022, til tross for at den ble offisielt annonsert på darknet-portaler seks måneder senere.
I følge Rohit Bansal, en sikkerhetsforsker, og skadevareforfatterne i Telegram-kanalen deres, har flertallet av Nexus-infeksjoner blitt rapportert i Tyrkia. Interessant nok har Nexus-skaperne innført eksplisitte reguleringer som forbyr bruk av skadelig programvare i flere land, inkludert Aserbajdsjan, Armenia, Hviterussland, Kasakhstan, Kirgisistan, Moldova, Russland, Tadsjikistan, Usbekistan, Ukraina og Indonesia.
Skadevaren har typiske banktrojanske funksjoner, som overleggsangrep og keylogging, for å kapre kontoer knyttet til bank- og kryptovalutatjenester ved å stjele brukernes legitimasjon. I tillegg har den muligheten til å lese tofaktorautentiseringskoder (2FA) fra SMS-meldinger og Google Authenticator-appen ved å bruke Androids tilgjengelighetstjenester. Den kan også fjerne SMS-meldinger, aktivere eller deaktivere 2FA stealer-modulen og oppdatere seg selv ved å pinge en kommando-og-kontroll-server (C2) med jevne mellomrom, blant andre nye funksjoner.
Hvordan fungerer de fleste banktrojanere?
De fleste banktrojanere er designet for å infiltrere et offers datamaskin eller mobilenhet og stjele sensitiv finansiell informasjon som påloggingsinformasjon, kredittkortnumre og andre bankdetaljer. De opererer vanligvis ved å bruke flere taktikker, inkludert phishing-angrep, ondsinnede vedlegg og infisert programvarenedlasting.
Når trojaneren er installert, vil den ofte ligge på lur og samle inn data om brukerens bankaktiviteter og annen sensitiv informasjon, som e-postadresser og passord. Mange banktrojanere er også i stand til å kapre nettøkter, noe som lar angriperen ta kontroll over offerets nettbankaktiviteter.
Noen banktrojanere har mer avanserte funksjoner som tastetrykklogging, skjermfangst og overleggsangrep. En tastetrykklogger registrerer alle tastetrykk som er lagt inn på tastaturet, som kan inkludere påloggingsinformasjon og annen sensitiv informasjon. En skjermfangstfunksjon lar angriperen ta opp brukerens dataskjerm, mens et overleggsangrep innebærer å lage en falsk påloggingsside som er lagt over et legitimt banknettsted.
Samlet sett er hovedmålet til de fleste banktrojanere å få uautorisert tilgang til ofrenes bankkontoer og stjele pengene deres. Det er viktig å være årvåken når det gjelder nettsikkerhet, og å ta skritt for å beskytte enhetene og personlig informasjon.
