A Nexus nevű felívelőben lévő Androidos banki trójai programot már több fenyegető elem is átvette, és a vele végrehajtott pénzügyi alkalmazásokat célzó támadások és csalások száma elérte a 450-et.
"Úgy tűnik, hogy a Nexus még a fejlődés korai szakaszában van. A Nexus minden főbb funkciót megad a banki portálok és kriptovaluta-szolgáltatások elleni ATO-támadások (Account Takeover - számalátvátel) végrehajtásához, mint például a hitelesítő adatok ellopása és az SMS-ek lehallgatása" - állítja a Cleafy olasz kiberbiztonsági cég a minap közzétett jelentésében.
A trójait, amely az év elején jelent meg különböző hackerfórumokon, előfizetéses szolgáltatásként hirdetik az ügyfeleiknek havi 3000 dolláros díjért. A kártevő részleteit először a Cyble dokumentálta a hónap elején. Vannak azonban arra utaló jelek, hogy a kártevőt már 2022 júniusában, azaz legalább hat hónappal a darknet portálokon való hivatalos bejelentése előtt, valós támadásokban használhatták.
Rohit Bansal (@0xrb) biztonsági kutató szerint (és a rosszindulatú szoftverek szerzői által a saját Telegram-csatornájukon megerősítve) a Nexus-fertőzések többségét Törökországból jelentették. Azt is mondják, hogy átfedésben van egy másik, SOVA nevű banki trójai vírussal, újra felhasználva annak forráskódjának egyes részeit és beépítve egy zsarolóvírus modult, amely a jelek szerint aktív fejlesztés alatt áll.
Itt érdemes megemlíteni, hogy a Nexus ugyanaz a rosszindulatú szoftver, amelyet a Cleafy eredetileg a SOVA új változatának (v5) minősített 2022 augusztusában. Érdekes módon a Nexus szerzői kifejezett szabályokat fogalmaztak meg, amelyek tiltják a rosszindulatú szoftverük használatát Azerbajdzsánban, Örményországban, Fehéroroszországban, Kazahsztánban, Kirgizisztánban, Moldovában, Oroszországban, Tádzsikisztánban, Üzbegisztánban, Ukrajnában és Indonéziában.
A kártevő más banki trójaiakhoz hasonlóan olyan funkciókat tartalmaz, amelyekkel banki és kriptovaluta-szolgáltatásokhoz kapcsolódó fiókokat vehet át overlay-támadások és keylogging segítségével, hogy ellopja a felhasználók hitelesítő adatait. Továbbá képes a kétfaktoros hitelesítési (2FA) kódok SMS-üzenetekből és a Google Authenticator alkalmazásból történő kiolvasására az Android elérhetőségi szolgáltatásaival való visszaélés révén.
Néhány újdonság a funkciók listáján, hogy képes eltávolítani a kapott SMS-üzeneteket, aktiválni vagy leállítani a 2FA-lopó modult, és frissíteni magát egy parancs- és vezérlőszerver (C2) rendszeres pingelésével. "A Malware-as-a-Service modell lehetővé teszi a bűnözők számára, hogy hatékonyabban pénzzé tegyék a rosszindulatú szoftvereket azáltal, hogy kész infrastruktúrát biztosítanak ügyfeleiknek, akik aztán a rosszindulatú szoftverrel támadhatják meg célpontjaikat" - mondták a kutatók - a The Hacker News szerint.
