Банковский троянец Nexus может красть коды двухфакторной аутентификации

Обнаружен новый банковский троянец для Android под названием Nexus, который уже использовался несколькими киберпреступниками для атаки примерно на 450 финансовых приложений и участия в мошеннических действиях.

Cleafy, итальянская компания по кибербезопасности, заявила в отчете, опубликованном на этой неделе, что Nexus, похоже, находится на ранней стадии разработки, но имеет все необходимые функции для проведения атак с захватом учетной записи (ATO) против банковских порталов и криптовалютных сервисов. За ежемесячную плату в размере 3000 долларов троянец рекламируется как услуга подписки для клиентов, и Cyble впервые задокументировала его в начале этого месяца. Вредоносное ПО, возможно, использовалось в реальных атаках еще в июне 2022 года, несмотря на то, что шесть месяцев спустя о нем было официально объявлено на порталах даркнета.

По словам исследователя безопасности Рохита Бансала и авторов вредоносных программ в их канале Telegram, большинство заражений Nexus было зарегистрировано в Турции. Интересно, что создатели Nexus ввели четкие правила, запрещающие использование их вредоносных программ в ряде стран, включая Азербайджан, Армению, Беларусь, Казахстан, Кыргызстан, Молдову, Россию, Таджикистан, Узбекистан, Украину и Индонезию.

Вредоносное ПО имеет типичные для банковских троянов функции, такие как оверлейные атаки и кейлоггинг, для захвата учетных записей, связанных с банковскими и криптовалютными услугами, путем кражи учетных данных пользователей. Кроме того, он имеет возможность считывать коды двухфакторной аутентификации (2FA) из SMS-сообщений и приложения Google Authenticator с помощью служб специальных возможностей Android. Он также может удалять SMS-сообщения, активировать или отключать модуль кражи 2FA и обновлять себя, регулярно пингуя сервер управления и контроля (C2), среди других новых функций.

Как работает большинство банковских троянцев?

Большинство банковских троянов предназначены для проникновения на компьютер или мобильное устройство жертвы и кражи конфиденциальной финансовой информации, такой как учетные данные для входа в систему, номера кредитных карт и другие банковские реквизиты. Обычно они действуют, используя несколько тактик, включая фишинговые атаки, вредоносные вложения и загрузку зараженного программного обеспечения.

После установки троян часто будет ждать, собирая данные о банковских операциях пользователя и другую конфиденциальную информацию, такую как адреса электронной почты и пароли. Многие банковские трояны также способны перехватывать веб-сессии, что позволяет злоумышленнику получить контроль над действиями жертвы в онлайн-банкинге.

Некоторые банковские трояны имеют более продвинутые функции, такие как регистрация нажатий клавиш, захват экрана и оверлейные атаки. Регистратор нажатий клавиш записывает все нажатия клавиш на клавиатуре, которые могут включать учетные данные для входа в систему и другую конфиденциальную информацию. Функция захвата экрана позволяет злоумышленнику записывать экран компьютера пользователя, а атака с наложением включает создание фальшивой страницы входа, которая накладывается поверх законного веб-сайта банка.

В целом основная цель большинства банковских троянов — получить несанкционированный доступ к банковским счетам жертв и похитить их деньги. Когда речь идет об онлайн-безопасности, важно сохранять бдительность и принимать меры для защиты ваших устройств и личной информации.