Nexus Banking Trojan kan 2FA-codes stelen
Er is een nieuwe Android-banktrojan genaamd Nexus ontdekt, die al door verschillende cybercriminelen is gebruikt om ongeveer 450 financiële apps aan te vallen en frauduleuze activiteiten uit te voeren.
Cleafy, een Italiaans cyberbeveiligingsbedrijf, verklaarde in een rapport dat deze week werd uitgebracht dat Nexus zich in een vroeg ontwikkelingsstadium lijkt te bevinden, maar alle noodzakelijke functies heeft om Account Takeover (ATO)-aanvallen uit te voeren op bankportalen en cryptocurrency-services. Voor een maandelijks bedrag van $ 3.000 wordt de trojan geadverteerd als een abonnementsservice voor klanten, en het werd eerder deze maand voor het eerst gedocumenteerd door Cyble. De malware is mogelijk al in juni 2022 gebruikt bij daadwerkelijke aanvallen, ondanks dat het zes maanden later officieel werd aangekondigd op darknet-portals.
Volgens Rohit Bansal, een beveiligingsonderzoeker, en de malware-auteurs in hun Telegram-kanaal, zijn de meeste Nexus-infecties gemeld in Turkije. Interessant is dat de makers van Nexus expliciete regels hebben opgelegd die het gebruik van hun malware verbieden in verschillende landen, waaronder Azerbeidzjan, Armenië, Wit-Rusland, Kazachstan, Kirgizië, Moldavië, Rusland, Tadzjikistan, Oezbekistan, Oekraïne en Indonesië.
De malware heeft typische bank-trojan-functies, zoals overlay-aanvallen en keylogging, om accounts die zijn gekoppeld aan bank- en cryptocurrency-services te kapen door de inloggegevens van gebruikers te stelen. Bovendien heeft het de mogelijkheid om tweefactorauthenticatiecodes (2FA) uit sms-berichten en de Google Authenticator-app te lezen met behulp van de toegankelijkheidsservices van Android. Het kan ook sms-berichten verwijderen, de 2FA-stealer-module activeren of uitschakelen en zichzelf updaten door regelmatig een command-and-control (C2)-server te pingen, naast andere nieuwe functies.
Hoe werken de meeste banktrojans?
De meeste banktrojans zijn ontworpen om de computer of het mobiele apparaat van een slachtoffer te infiltreren en gevoelige financiële informatie te stelen, zoals inloggegevens, creditcardnummers en andere bankgegevens. Ze werken meestal door gebruik te maken van verschillende tactieken, waaronder phishing-aanvallen, kwaadaardige bijlagen en geïnfecteerde softwaredownloads.
Eenmaal geïnstalleerd, zal de trojan vaak op de loer liggen en gegevens verzamelen over de bankactiviteiten van de gebruiker en andere gevoelige informatie, zoals e-mailadressen en wachtwoorden. Veel trojans voor bankieren zijn ook in staat om websessies te kapen, waardoor de aanvaller de controle over de online bankactiviteiten van het slachtoffer kan overnemen.
Sommige trojans voor bankieren hebben meer geavanceerde functies, zoals het vastleggen van toetsaanslagen, het vastleggen van schermen en overlay-aanvallen. Een toetsaanslaglogger registreert alle toetsaanslagen die op het toetsenbord worden ingevoerd, waaronder inloggegevens en andere gevoelige informatie. Met een schermopnamefunctie kan de aanvaller het computerscherm van de gebruiker opnemen, terwijl een overlay-aanval bestaat uit het maken van een valse inlogpagina die bovenop een legitieme bankwebsite wordt geplaatst.
Over het algemeen is het belangrijkste doel van de meeste bank-trojans om ongeoorloofde toegang te krijgen tot de bankrekeningen van slachtoffers en hun geld te stelen. Het is belangrijk om waakzaam te blijven als het gaat om online beveiliging en om stappen te ondernemen om uw apparaten en persoonlijke informatie te beschermen.
