Trojan bankowy Nexus może kraść kody 2FA

Wykryto nowego trojana bankowego dla Androida o nazwie Nexus, który został już wykorzystany przez kilku cyberprzestępców do atakowania około 450 aplikacji finansowych i angażowania się w oszukańcze działania.

Cleafy, włoska firma zajmująca się cyberbezpieczeństwem, stwierdziła w raporcie opublikowanym w tym tygodniu, że Nexus wydaje się być na wczesnym etapie rozwoju, ale ma wszystkie niezbędne funkcje do przeprowadzania ataków przejęcia konta (ATO) na portale bankowe i usługi kryptowalutowe. Za miesięczną opłatę w wysokości 3000 USD trojan jest reklamowany jako usługa subskrypcji dla klientów i został po raz pierwszy udokumentowany przez Cyble na początku tego miesiąca. Szkodliwe oprogramowanie mogło być wykorzystywane w rzeczywistych atakach już w czerwcu 2022 r., mimo że zostało oficjalnie ogłoszone na portalach darknet sześć miesięcy później.

Według Rohita Bansala, badacza bezpieczeństwa, oraz autorów złośliwego oprogramowania na ich kanale Telegram, większość infekcji Nexusa została zgłoszona w Turcji. Co ciekawe, twórcy Nexusa wprowadzili wyraźne przepisy zabraniające używania ich szkodliwego oprogramowania w kilku krajach, w tym w Azerbejdżanie, Armenii, Białorusi, Kazachstanie, Kirgistanie, Mołdawii, Rosji, Tadżykistanie, Uzbekistanie, Ukrainie i Indonezji.

Szkodliwe oprogramowanie posiada typowe funkcje trojana bankowego, takie jak nakładanie ataków i rejestrowanie klawiszy, w celu przejmowania kont powiązanych z usługami bankowymi i kryptowalutami poprzez kradzież danych uwierzytelniających użytkowników. Dodatkowo ma możliwość odczytywania kodów uwierzytelniania dwuskładnikowego (2FA) z wiadomości SMS i aplikacji Google Authenticator za pomocą usług ułatwień dostępu Androida. Oprócz innych nowych funkcji może również usuwać wiadomości SMS, aktywować lub dezaktywować moduł kradzieży 2FA i aktualizować się, wysyłając pakiety ping do serwera dowodzenia i kontroli (C2) w regularnych odstępach czasu.

Jak działa większość trojanów bankowych?

Większość trojanów bankowych ma na celu infiltrację komputera lub urządzenia mobilnego ofiary i kradzież poufnych informacji finansowych, takich jak dane logowania, numery kart kredytowych i inne dane bankowe. Zwykle działają, wykorzystując kilka taktyk, w tym ataki typu phishing, złośliwe załączniki i pobieranie zainfekowanego oprogramowania.

Po zainstalowaniu trojan często czyha, zbierając dane dotyczące czynności bankowych użytkownika oraz inne poufne informacje, takie jak adresy e-mail i hasła. Wiele trojanów bankowych jest również zdolnych do przejmowania sesji internetowych, co pozwala atakującemu przejąć kontrolę nad działaniami ofiary w zakresie bankowości internetowej.

Niektóre trojany bankowe mają bardziej zaawansowane funkcje, takie jak rejestrowanie naciśnięć klawiszy, przechwytywanie ekranu i ataki nakładkowe. Rejestrator naciśnięć klawiszy rejestruje wszystkie naciśnięcia klawiszy wprowadzane na klawiaturze, które mogą obejmować dane logowania i inne poufne informacje. Funkcja przechwytywania ekranu umożliwia atakującemu nagrywanie ekranu komputera użytkownika, podczas gdy atak typu „overlay” polega na utworzeniu fałszywej strony logowania, która jest nakładana na legalną witrynę bankową.

Ogólnie rzecz biorąc, głównym celem większości trojanów bankowych jest uzyskanie nieautoryzowanego dostępu do kont bankowych ofiar i kradzież ich pieniędzy. Ważne jest, aby zachować czujność, jeśli chodzi o bezpieczeństwo online, i podjąć kroki w celu ochrony swoich urządzeń i danych osobowych.