Вредоносное ПО Nexus для Android нацелено на 450 финансовых приложений

Вредоносное ПО Nexus для Android нацелено на 450 финансовых приложений

30 марта 2023 г.
Узнайте, как защитить свою организацию и пользователей от этого банковского трояна для Android.

Вредоносное ПО Nexus — это банковский троян для Android, продвигаемый по модели «вредоносное ПО как услуга». Вредоносное ПО рекламировалось на нескольких подпольных форумах по киберпреступности с января 2023 года, как сообщается в новом исследовании Cleafy, итальянского поставщика решений для кибербезопасности.

В рекламе на подпольном форуме по киберпреступности проект вредоносного ПО описывается как «очень новый» и «находящийся в постоянном развитии». Другие сообщения от автора Nexus в одной из веток форума указывают на то, что код вредоносного ПО был создан с нуля. Интересное примечание: Авторы запрещают использование вредоносного ПО в России и странах СНГ.

Перейти к:

    Потенциальное воздействие вредоносных программ Nexus для Android Технический анализ вредоносных программ Nexus для Android Сходство с банковским вредоносным ПО SOVA для Android Как защититься от этой угрозы вредоносного ПО Nexus для Android

Потенциальное воздействие вредоносных программ Nexus для Android

Количество управляющих серверов Nexus растет, а угроза возрастает. По данным Cleafy Labs, в 2023 году было обнаружено более 16 серверов для управления Nexus, которые, вероятно, использовались несколькими филиалами программы MaaS.

Как заявили исследователи Cleafy, «отсутствие модуля VNC ограничивает диапазон его действия и его возможности; однако, согласно уровню заражения, полученному с нескольких панелей C2, Nexus представляет собой реальную угрозу, способную заразить сотни устройств по всему миру».

Nexus продается за 3000 долларов США в месяц по подписке MaaS, что делает его интересной возможностью для киберпреступников, у которых нет опыта разработки вредоносного ПО или его шифрования для обхода антивирусных решений.

Технический анализ вредоносных программ Nexus для Android

Вредоносное ПО Nexus работает на операционных системах Android и имеет несколько функций, представляющих интерес для киберпреступников.

Атаки с захватом учетной записи могут быть выполнены с использованием вредоносного ПО Nexus. Nexus имеет полный список из 450 страниц входа в финансовые приложения для получения учетных данных пользователей. Он также может выполнять оверлейные атаки и действия пользователей кейлога.

Оверлейные атаки очень популярны среди мобильных банковских троянов. Они включают в себя размещение окна поверх законного приложения, чтобы запросить у пользователя учетные данные, чтобы их можно было украсть. Оверлейные атаки также могут украсть файлы cookie с определенных сайтов, как правило, для злоупотребления сеансовыми файлами cookie. Кроме того, вредоносное ПО Nexus для Android может красть информацию из криптокошельков.

ПОСМОТРЕТЬ: Политика безопасности мобильных устройств (TechRepublic Premium)

Вредоносная программа имеет возможности перехвата SMS, которые можно использовать для обхода двухфакторной аутентификации, захватывая коды безопасности, которые отправляются на мобильный телефон жертвы. Nexus также может получать коды 2FA для приложения Google Authenticator.

Сравнив код двух разных двоичных файлов Nexus от сентября 2022 года и марта 2023 года, исследователи Cleafy обнаружили, что разработчик вредоносного ПО все еще активно работает над ним. Появились новые функции, такие как возможность удалить полученное SMS на мобильный телефон жертвы или активировать/деактивировать возможности кражи 2FA у вредоносного ПО.

Вредоносная программа Nexus регулярно обновляется, проверяя C2-сервер на наличие последней версии. Если полученное значение не совпадает с текущим, вредоносная программа автоматически запускает свое обновление.

Cleafy Labs указала, что в различных образцах Nexus были обнаружены возможности шифрования, но, похоже, эти возможности все еще находятся в стадии разработки и еще не используются. Хотя этот код может быть частью усилий по созданию кода программы-вымогателя, исследователи подсчитали, что он может быть результатом неправильного копирования и вставки, связанного со многими частями кода. Он также может находиться в стадии разработки для деструктивной способности, делающей ОС бесполезной после того, как она используется для преступной деятельности.

Как заявляет Cleafy Labs, «трудно думать о методах работы программ-вымогателей на мобильных устройствах, поскольку большая часть хранимой информации синхронизируется с облачными сервисами и легко восстанавливается».

Веб-панель Android Nexus

Злоумышленники контролируют все вредоносное ПО, установленное на мобильных телефонах жертв, с помощью веб-панели управления. Панель показывает 450 финансовых целей и предлагает опытным злоумышленникам возможность создать дополнительный код внедрения для дополнительных приложений.

Эта панель позволяет злоумышленникам видеть состояние всех зараженных устройств и получать статистику о количестве зараженных устройств. Они также могут собирать данные, украденные с устройств, такие как учетные данные для входа в систему, файлы cookie, информацию о кредитной карте и другую конфиденциальную информацию. Всю эту информацию можно получить из интерфейса и сохранить для мошеннического использования.

Кроме того, веб-панель содержит конструктор, который можно использовать для создания пользовательских конфигураций вредоносного ПО Nexus.

Сходство с банковским вредоносным ПО SOVA для Android

Тщательный анализ вредоносных программ, проведенный Cleafy Labs, выявил сходство кода между образцами Nexus и SOVA, еще одним банковским трояном для Android, появившимся в середине 2021 года. Хотя автор Nexus утверждает, что он был разработан с нуля, возможно, код из SOVA был повторно использован.

Разработчик SOVA по прозвищу «совенок» недавно заявил, что партнер, ранее арендовавший SOVA, украл весь исходный код проекта. Они привлекли внимание к другому прозвищу «Яд», которое, похоже, связано с проектом вредоносных программ Nexus.

Большинство команд SOVA были повторно использованы в Nexus, а некоторые функции были разработаны точно так же.

Как защититься от этой угрозы вредоносного ПО Nexus для Android

Поскольку первоначальный вектор заражения неизвестен, важно попытаться защитить смартфоны Android от заражения вредоносным ПО на всех уровнях:

    Разверните решение для управления мобильными устройствами: оно позволяет удаленно управлять корпоративными устройствами и контролировать их, включая установку обновлений безопасности и применение политик безопасности. Используйте авторитетное антивирусное программное обеспечение: также постоянно обновляйте ОС и все программное обеспечение и исправляйте их, чтобы избежать компрометации из-за распространенных уязвимостей. Избегайте неизвестных магазинов: в отличие от официальных магазинов мобильного программного обеспечения, в неизвестных магазинах обычно нет процессов обнаружения вредоносных программ. Напомните всем пользователям не устанавливать программное обеспечение из ненадежных источников. Внимательно проверяйте запрашиваемые разрешения при установке приложения: приложения должны запрашивать разрешения только для необходимых API; например, сканер QR-кода не должен спрашивать разрешения на отправку SMS. Перед установкой приложения проверьте, какие привилегии оно требует. Обучайте сотрудников безопасному использованию мобильных устройств: обучайте сотрудников тому, как распознавать и избегать вредоносных приложений, ссылок и вложений, и поощряйте их сообщать о любых подозрительных действиях.

Раскрытие информации: я работаю в Trend Micro, но мнения, выраженные в этой статье, принадлежат мне.


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE