Банковский троян Nexus стремительно заражает Android-устройства по всему миру

Банковский троян для Android, известный как Nexus, стремительно набирает популярность у злоумышленников: им пользуется уже немало разных хакерских группировок. Как сообщается, жертвами атаки Nexus стали уже по меньшей мере 450 финансовых приложений по всему миру.

Представители компании Cleafy считают, что вредоносное ПО находится на раннем этапе разработки, и впоследствии будет еще не раз доработано. «Nexus предоставляет все основные функции для выполнения ATO-атак (Account Takeover) против банковских порталов и криптовалютных сервисов, таких как воровство учетных данных и перехват SMS», — заявляют специалисты.

Появившийся на различных хакерских форумах в начале этого года троян рекламируется как услуга по подписке (MaaS) за ежемесячную плату в размере 3000 долларов. Подробная информация о вредоносном ПО была впервые задокументирована компанией Cyble ранее в этом месяце. Однако есть признаки того, что вредоносное ПО могло использоваться в реальных атаках еще в июне 2022 года, как минимум за шесть месяцев до официального объявления на даркнет-площадках.

Большинство заражений трояном Nexus было зафиксировано на территории Турции, однако авторы вредоносного ПО в своем Telegram-канале уверяют, что целенаправленной атаки на Турцию по политическим или другим причинам клиенты Nexus не устраивали.

Первоначально Nexus был классифицирован как очередная вариация другого банковского трояна – SOVA. И только спустя некоторое время исследователи поняли, что новый троян просто основан на коде старика, а также использует его модуль программы-вымогателя.

Интересно, что авторы Nexus изложили своим клиентам четкие правила, запрещающие использование их вредоносной программы на территории Азербайджана, Армении, Беларуси, Казахстана, Кыргызстана, Молдовы, России, Таджикистана, Узбекистана, Украины и Индонезии. Это дает понять, что авторы вредоносного ПО, вероятнее всего, сами являются гражданами одной из этих стран.

Nexus, как и многие другие банковские трояны, содержит функции для захвата учетных записей путем выполнения оверлейных атак и регистрации ключей. Кроме того, троян способен считывать коды двухфакторной проверки подлинности (2FA) с SMS-сообщений и приложения Google Authenticator, злоупотребляя службами специальных возможностей Android.

Некоторые новые дополнения к списку функций - способность Nexus удалять полученные SMS-сообщения, активировать или останавливать модуль кражи 2FA и самостоятельно обновлять себя, периодически пингуя C2-сервер.

«Модель MaaS позволяет преступникам эффективнее всего монетизировать свое вредоносное ПО, предоставляя клиентам готовую инфраструктуру, которую потом можно использовать для атак по нужным им целям», — сообщают исследователи.

noworries.news