Итальянская компания по кибербезопасности Cleafy обнаружила троянца Nexus для Android, который может взламывать онлайн-аккаунты и выводить с них средства. Было обнаружено, что Nexus нацелен на клиентов из 450 банков и криптовалютных служб по всему миру.
Впервые он был обнаружен в июне 2022 года как вариант другого банковского троянца для Android под названием SOVA. С тех пор Nexus улучшил свои возможности таргетинга и доступен через программу «вредоносное ПО как услуга» за 3000 долларов в месяц. Вредоносное ПО позволяет другим злоумышленникам арендовать его или подписаться на него для личных атак.
В соответствии с отчет Клифи, во всем мире активно несколько кампаний, что подтверждает, что несколько злоумышленников уже используют эту цепочку для проведения мошеннических кампаний. Nexus использует несколько методов захвата аккаунта, в том числе выполнение оверлейные атаки и регистрация нажатий клавиш для кражи учетных данных пользователя.
Когда клиент целевого банковского или криптовалютного приложения использует свое скомпрометированное устройство Android, Nexus перенаправляет его на страницу, маскирующуюся под подлинную страницу входа в приложение, и захватывает учетные данные жертвы, используя встроенный кейлоггер.
![Android-троянец Nexus нацеливается на ваши криптовалютные кошельки 2 Android-троянец Nexus](https://techbriefly.com/wp-content/uploads/2023/03/Nexus-Android-Trojan_2.jpg)
Как работает Nexus Android Trojan?
Как и многие банковские троянцы, Android-троянец Nexus может получить доступ к онлайн-аккаунтам, перехватив коды двухфакторной аутентификации из SMS. Также было обнаружено, что троянец ворует семена и информация о балансе из криптовалютных кошельковфайлы cookie с целевых веб-сайтов и двухфакторные коды приложения Google Authenticator с использованием функций Android «Специальные возможности».
Клифи обнаружил, что троянец Nexus Android разработал новые возможности, в том числе возможность удалять полученные аутентификационные SMS-сообщения, останавливать или активировать модуль для кража кодов Google Authenticator 2FAа также периодически проверять свой собственный командно-контрольный сервер на наличие обновлений и автоматически устанавливать все, что может стать доступным.
Несмотря на свою универсальность для захвата учетных записей и глобальный охват, Cleafy определяет троян Nexus для Android как «незавершенный». В основном это связано с наличием отладочных строк и отсутствием ссылок на использование в некоторых модулях вредоносного ПО.
![Android-троянец Nexus нацеливается на ваши криптовалютные кошельки 3 Android-троянец Nexus](https://techbriefly.com/wp-content/uploads/2023/03/Nexus-Android-Trojan.jpg)
Относительно большое количество сообщений журнала в коде предполагает неадекватное отслеживание и отчетность о действиях вредоносного ПО. Кроме того, в текущей версии вредоносного ПО отсутствует модуль виртуальных сетевых вычислений (VNC) для полного удаленного управления зараженным Nexus устройством. Модуль VNC позволяет злоумышленникам осуществлять мошенничество на устройствечто является одним из самых опасных видов мошенничества, поскольку денежные переводы инициируются с одного и того же устройства, которым жертвы ежедневно пользуются.
Модуль, все еще находящийся в стадии разработки, по наблюдениям Cleafy, похоже, имеет возможности шифрования в основном для целей запутывания после полного захвата учетной записи.
В целом Nexus Android Trojan — опасный троян, который уже использовался в нескольких мошеннических кампаниях. Хотя вредоносное ПО все еще находится в стадии разработки, оно уже продемонстрировало свои возможности по захвату учетных записей и глобальному охвату, что делает его серьезной угрозой для пользователей мобильного банкинга и криптовалюты.
В наше время, особенно с ростом распространенности цифровых валют, очень важно защитить себя от подобных вирусов и троянов. Недавно популярный YouTube-канал Linus Tech Tips был взломан, и хакеры попытались провести какую-то крипто-аферу, используя фотографию Илона Маска.
Source: Android-троянец Nexus нацеливается на ваши криптовалютные кошельки