Novi Android bankovni trojanac otkriven je u nekoliko malicioznih kampanja širom svijeta. Nazvan ‘Nexus’ od strane istraživača sigurnosti Cleafy, alat se promoviše kao dio pretplate Malware-as-a-Service (MaaS) i pruža funkcije za izvođenje napada preuzimanja računa (ATO).
“U januaru 2023. godine novi Android bankovni trojanac pojavio se na više hakerskih foruma pod imenom Nexus” napisala je kompanija u upozorenju objavljenom u utorak. “Međutim, mi smo pratili prve infekcije Nexus-om mnogo prije javnog objavljivanja u junu 2022. godine”.
Analizirajući uzorke Nexus-a prošle godine, Cleafy je uočio sličnosti koda između malicioznog softvera i SOVA, Android bankovnog trojanca otkrivenog sredinom 2021. godine. U to vrijeme, tim je vjerovao da je Nexus ažurirana verzija SOVE.
„Uprkos novom MaaS programu koji je pokrenut pod imenom Nexus, autori su možda ponovo koristili neke dijelove SOVA internih elemenata za pisanje novih funkcija (i prepisivanje nekih od postojećih)“ objasnio je Cleafy.
“Nedavno je autor SOVE, koji radi pod pseudonimom ‘sovenok’, počeo dijeliti neke uvide u Nexus i njegov odnos sa SOVA-om, prozivajući podružnicu koja je prethodno iznajmila SOVA-u zbog krađe cijelog izvornog koda projekta.”
Što se tiče funkcija koje olakšavaju ATO operacije, Nexus nudi napade preklapanja i aktivnosti keylogging-a dizajnirane za krađu kredencijala žrtava. Takođe može ukrasti SMS poruke (za dobijanje dvofaktornih kodova za autentifikaciju) i informacije iz novčanika kriptovaluta.
“Nexus je takođe opremljen mehanizmom za autonomno ažuriranje” napisao je Cleafy. “Namjenska funkcija asinhrono provjerava na svom C2 serveru da li ima ažuriranja kada je maliciozni softver pokrenut.”
Maliciozni softver takođe uključuje modul sposoban za šifrovanje, možda ransomware.
“Čini se da je ovaj modul u razvoju zbog prisustva stringova za otklanjanje grešaka i nedostatka referenci za korištenje” pojašnjavaju iz kompanije.
Općenito, Cleafy je rekao da odsustvo virtuelnog mrežnog računarskog (VNC) modula (koji bi omogućio daljinski pristup) trenutno ograničava opseg djelovanja i mogućnosti Nexusa.
“Međutim, prema stopi zaraze prikupljenoj sa više C2 panela, Nexus je stvarna pretnja koja može zaraziti stotine uređaja širom svijeta” upozorio je sigurnosni tim. “Zbog toga ne možemo isključiti da će biti spreman za scenu u narednih nekoliko mjeseci.”
Izvor: Infosecurity Magazine