Một trojan ngân hàng Android mới nổi có tên là Nexus đã được một số hacker sử dụng để nhắm mục tiêu vào 450 ứng dụng tài chính.
Công ty an ninh mạng Ý Cleafy cho biết :”Nexus dường như đang trong giai đoạn phát triển ban đầu. Nexus cung cấp tất cả các tính năng chính để thực hiện các cuộc tấn công ATO (Chiếm đoạt tài khoản) đối với các cổng ngân hàng và dịch vụ tiền điện tử, chẳng hạn như đánh cắp thông tin đăng nhập và chặn SMS.”
Trojan, xuất hiện trên nhiều diễn đàn hack khác nhau vào đầu năm, được quảng cáo là dịch vụ đăng ký cho khách hàng của mình với mức phí hàng tháng là 3.000 đô la. Chi tiết về phần mềm độc hại lần đầu tiên được Cyble ghi lại vào đầu tháng này.
Tuy nhiên, có dấu hiệu cho thấy phần mềm độc hại này có thể đã được sử dụng trong các cuộc tấn công ngay từ tháng 6 năm 2022, ít nhất sáu tháng trước khi có thông báo chính thức trên các cổng darknet.
Theo nhà nghiên cứu bảo mật Rohit Bansal ( @0xrb ) và được xác nhận bởi tác giả phần mềm độc hại trên kênh Telegram của riêng họ, phần lớn các trường hợp lây nhiễm Nexus đã được báo cáo ở Thổ Nhĩ Kỳ.
Một điểm đáng nói ở đây là Nexus chính là phần mềm độc hại mà Cleafy ban đầu đã phân loại là một biến thể mới của SOVA (được đặt tên là v5) vào tháng 8 năm 2022.
Giống như các trojan ngân hàng khác, chứa các tính năng chiếm đoạt các tài khoản liên quan đến dịch vụ ngân hàng và tiền điện tử bằng cách thực hiện các cuộc tấn công lớp phủ và ghi bàn phím để đánh cắp thông tin đăng nhập của người dùng.
Hơn nữa, nó có khả năng đọc mã xác thực hai yếu tố (2FA) từ tin nhắn SMS và ứng dụng Google Authenticator thông qua việc lạm dụng các dịch vụ trợ năng của Android.
Một số bổ sung mới cho danh sách các chức năng là khả năng xóa các tin nhắn SMS đã nhận, kích hoạt hoặc dừng mô-đun đánh cắp 2FA và tự cập nhật bằng cách ping định kỳ máy chủ chỉ huy và kiểm soát (C2).
Các nhà nghiên cứu cho biết: “Mô hình [Malware-as-a-Service] cho phép tội phạm kiếm tiền từ phần mềm độc hại hiệu quả hơn bằng cách cung cấp cơ sở hạ tầng được tạo sẵn cho khách hàng, những người sau đó có thể sử dụng phần mềm độc hại để tấn công mục tiêu của chúng”.
