Nexus Banking Trojan kan stjäla 2FA-koder

En ny Android-banktrojan kallad Nexus har upptäckts, som redan har använts av flera cyberkriminella för att rikta in sig på cirka 450 finansiella appar och ägna sig åt bedrägliga aktiviteter.

Cleafy, ett italienskt cybersäkerhetsföretag, uppgav i en rapport som släpptes denna vecka att Nexus verkar vara i sina tidiga utvecklingsstadier men har alla nödvändiga funktioner för att utföra kontoövertagande (ATO) angrepp mot bankportaler och kryptovalutatjänster. För en månadsavgift på $3 000 annonseras trojanen som en prenumerationstjänst för kunder, och den dokumenterades först av Cyble tidigare denna månad. Skadlig programvara kan ha använts i faktiska attacker redan i juni 2022, trots att den officiellt tillkännagavs på darknet-portaler sex månader senare.

Enligt Rohit Bansal, en säkerhetsforskare, och skadlig programvara författarna i deras Telegram-kanal, har majoriteten av Nexus-infektioner rapporterats i Turkiet. Intressant nog har Nexus-skaparna infört uttryckliga regler som förbjuder användningen av deras skadliga program i flera länder, inklusive Azerbajdzjan, Armenien, Vitryssland, Kazakstan, Kirgizistan, Moldavien, Ryssland, Tadzjikistan, Uzbekistan, Ukraina och Indonesien.

Skadlig programvara har typiska banktrojanska funktioner, såsom överlagringsattacker och nyckelloggning, för att kapa konton kopplade till bank- och kryptovalutatjänster genom att stjäla användarnas referenser. Dessutom har den möjlighet att läsa tvåfaktorsautentiseringskoder (2FA) från SMS-meddelanden och Google Authenticator-appen med hjälp av Androids tillgänglighetstjänster. Den kan också ta bort SMS-meddelanden, aktivera eller inaktivera 2FA stealer-modulen och uppdatera sig själv genom att pinga en kommando-och-kontroll-server (C2) med jämna mellanrum, bland andra nya funktioner.

Hur fungerar de flesta banktrojaner?

De flesta banktrojaner är designade för att infiltrera ett offers dator eller mobila enhet och stjäla känslig finansiell information som inloggningsuppgifter, kreditkortsnummer och andra bankuppgifter. De fungerar vanligtvis genom att använda flera taktiker, inklusive nätfiskeattacker, skadliga bilagor och nedladdningar av infekterade program.

När den väl har installerats kommer trojanen ofta att ligga och vänta och samla in data om användarens bankaktiviteter och annan känslig information, såsom e-postadresser och lösenord. Många banktrojaner kan också kapa webbsessioner, vilket gör att angriparen kan ta kontroll över offrets onlinebankaktiviteter.

Vissa banktrojaner har mer avancerade funktioner som tangenttryckningsloggning, skärmdumpning och överlagringsattacker. En tangenttryckningslogger registrerar alla tangenttryckningar som anges på tangentbordet, vilket kan inkludera inloggningsuppgifter och annan känslig information. En skärmfångstfunktion tillåter angriparen att spela in användarens datorskärm, medan en överlagringsattack innebär att skapa en falsk inloggningssida som läggs ovanpå en legitim bankwebbplats.

Sammantaget är huvudmålet för de flesta banktrojaner att få obehörig tillgång till offrens bankkonton och stjäla deras pengar. Det är viktigt att vara vaksam när det gäller onlinesäkerhet och att vidta åtgärder för att skydda dina enheter och personlig information.