Банківський троян Nexus стрімко заражає Android-пристрої по всьому світу

Банківський троян для Android, відомий як Nexus, стрімко набирає популярності у зловмисників: ним користується вже чимало різних хакерських угруповань. Як повідомляється, жертвами атаки Nexus стало вже щонайменше 450 фінансових застосунків по всьому світу.

Представники компанії Cleafy вважають, що шкідливе ПЗ перебуває на ранньому етапі розробки, і згодом буде ще не раз доопрацьоване. «Nexus надає всі основні функції для виконання ATO-атак (Account Takeover) проти банківських порталів і криптовалютних сервісів, таких як крадіжка облікових даних і перехоплення SMS», — заявляють фахівці.

Троян, що з’явився на різних хакерських форумах на початку цього року, рекламується як послуга за передплатою (MaaS) за щомісячну плату в розмірі 3000 доларів. Детальна інформація про шкідливе ПЗ була вперше задокументована компанією Cyble раніше цього місяця. Однак є ознаки того, що шкідливе ПЗ могло використовуватися в реальних атаках ще в червні 2022 року, як мінімум за шість місяців до офіційного оголошення на даркнет-майданчиках.

Більшість заражень трояном Nexus було зафіксовано на території Туреччини, проте автори шкідливого ПО у своєму Telegram-каналі запевняють, що цілеспрямованої атаки на Туреччину з політичних чи інших причин клієнти Nexus не влаштовували.

Спочатку Nexus був класифікований як чергова варіація іншого банківського трояна — SOVA. І лише через деякий час дослідники зрозуміли, що новий троян просто заснований на коді старого, а також використовує його модуль програми-вимагача.

Цікаво, що автори Nexus виклали своїм клієнтам чіткі правила, що забороняють використання їхньої шкідливої програми на території Азербайджану, Вірменії, Білорусі, Казахстану, Киргизстану, Молдови, Росії, Таджикистану, Узбекистану, України та Індонезії. Це дає зрозуміти, що автори шкідливого ПЗ, найімовірніше, самі є громадянами однієї з цих країн.

Nexus, як і багато інших банківських троянів, містить функції для захоплення облікових записів шляхом виконання оверлейних атак і реєстрації ключів. Крім того, троян здатний зчитувати коди двофакторної автентифікації (2FA) з SMS-повідомлень і застосунку Google Authenticator, зловживаючи службами спеціальних можливостей Android.

Деякими новими доповненнями до списку функцій є здатність Nexus видаляти отримані SMS-повідомлення, активувати або зупиняти модуль крадіжки 2FA і самостійно оновлювати себе, періодично пінгуючи C2-сервер.

«Модель MaaS дає змогу злочинцям найефективніше монетизувати своє шкідливе ПЗ, надаючи клієнтам готову інфраструктуру, яку потім можна використовувати для атак за потрібними їм цілями», — повідомляють дослідники.