27/03/23
Недавно появившийся на радарах банковский троян для Android, известный как Nexus, стремительно набирает популярность у злоумышленников: им пользуется уже множество разных хакерских группировок. Как сообщает Securitylab, жертвами атаки Nexus стало уже по меньшей мере 450 финансовых приложений по всему миру.
Представители компании Cleafy считают, что вредонос находится на раннем этапе разработки, и впоследствии будет ещё не раз доработан. «Nexus предоставляет все основные функции для выполнения ATO-атак (Account Takeover) против банковских порталов и криптовалютных сервисов, таких как кража учётных данных и перехват SMS», — заявляют специалисты.
Троянец, появившийся на различных хакерских форумах в начале этого года, рекламируется как услуга по подписке (MaaS) за ежемесячную плату в размере 3000 долларов. Подробная информация о вредоносном ПО была впервые задокументирована компанией Cyble ранее в этом месяце. Однако есть признаки того, что вредоносное ПО могло использоваться в реальных атаках еще в июне 2022 года, как минимум за шесть месяцев до его официального объявления на даркнет-площадках.
Большинство заражений трояном Nexus было зафиксировано на территории Турции, однако авторы вредоноса в своём Telegram-канале уверяют, что целенаправленной атаки на Турцию по политическим или иным причинам клиенты Nexus не устраивали.
Первоначально Nexus был классифицирован как очередная вариация другого банковского трояна — SOVA. И лишь спустя время исследователи поняли, что новый вредонос просто основан на коде старого, а также использует его модуль программы-вымогателя.
Интересно, что авторы Nexus изложили своим клиентам чёткие правила, запрещающие использование их вредоносной программы на территории Азербайджана, Армении, Беларуси, Казахстана, Кыргызстана, Молдовы, России, Таджикистана, Узбекистана, Украины и Индонезии. Это даёт понять, что авторы зловредного ПО, скорее всего, сами являются уроженцами одной из этих стран.
Вредоносная программа Nexus, как и многие другие банковские трояны, содержит функции для захвата учётных записей путём выполнения оверлейных атак и регистрации ключей. Кроме того, троян способен считывать коды двухфакторной аутентификации (2FA) из SMS-сообщений и приложения Google Authenticator, злоупотребляя службами специальных возможностей Android.
Некоторыми новыми дополнениями к списку функций является способность Nexus удалять полученные SMS-сообщения, активировать или останавливать модуль кражи 2FA и самостоятельно обновлять себя, периодически пингуя C2-сервер.
«Модель MaaS позволяет преступникам наиболее эффективно монетизировать своё вредоносное ПО, предоставляя клиентам готовую инфраструктуру, которая затем может быть использована для атак по нужным им целям», — сообщают исследователи.
