Het Italiaanse cyberbeveiligingsbedrijf Cleafy heeft een Nexus Android-trojan ontdekt die online accounts kan kapen en er geld van kan opnemen. Er is vastgesteld dat Nexus zich richt op klanten van 450 banken en cryptocurrency-services wereldwijd.
Het werd voor het eerst waargenomen in juni 2022 als een variant van een andere trojan voor Android-bankieren, SOVA genaamd. Sindsdien heeft Nexus zijn targetingmogelijkheden verbeterd en is het beschikbaar via een malware-as-a-service-programma voor $ 3000 per maand. Met de malware kunnen andere aanvallers deze huren of erop abonneren voor persoonlijke aanvallen.
Volgens een rapport van Cleafy, zijn er wereldwijd meerdere campagnes actief, wat bevestigt dat meerdere bedreigingsactoren deze thread al gebruiken om frauduleuze campagnes uit te voeren. Nexus gebruikt verschillende technieken voor het overnemen van accounts, waaronder uitvoeren overlay-aanvallen en logboekregistratie van toetsaanslagen om gebruikersreferenties te stelen.
Wanneer een klant van een gerichte bank- of cryptocurrency-app zijn gecompromitteerde Android-apparaat gebruikt, leidt Nexus hem om naar een pagina die zich voordoet als een echte app-inlogpagina en pakt de inloggegevens van het slachtoffer met behulp van een ingebedde keylogger.
Hoe werkt de Nexus Android-trojan?
Net als veel banktrojans kan de Nexus Android Trojan toegang krijgen tot online accounts door tweefactorauthenticatiecodes van een sms te onderscheppen. De Trojan bleek ook te stelen zaden en saldo-informatie van cryptocurrency-portefeuillescookies van getargete websites en tweefactorcodes van de Google Authenticator-app met behulp van de “Toegankelijkheidsservices”-functies van Android.
Cleafy ontdekte dat Nexus Android Trojan nieuwere mogelijkheden heeft ontwikkeld, waaronder mogelijkheden om ontvangen authenticatie-sms-berichten te verwijderen, de module te stoppen of te activeren voor het stelen van Google Authenticator 2FA-codesen controleert regelmatig zijn eigen command-and-control-server op updates en installeert automatisch eventuele beschikbare updates.
Ondanks zijn veelzijdigheid voor accountovernames en wereldwijd bereik, wijst Cleafy erop dat Nexus Android Trojan nog steeds een “werk in uitvoering” is. Dit is voornamelijk te wijten aan de aanwezigheid van foutopsporingsreeksen en het ontbreken van gebruiksreferenties in bepaalde modules van de malware.
Het relatief hoge aantal logberichten in de code suggereert onvoldoende tracking en rapportage van malware-acties. Bovendien bevat de huidige versie van de malware geen Virtual Network Computing (VNC)-module voor een volledige overname op afstand van een met Nexus geïnfecteerd apparaat. De Met de VNC-module kunnen bedreigingsactoren fraude op het apparaat uitvoerenwat een van de gevaarlijkste vormen van fraude is, aangezien geldoverboekingen worden geïnitieerd vanaf hetzelfde apparaat dat de slachtoffers dagelijks gebruiken.
Een module die nog in ontwikkeling is, zoals waargenomen door Cleafy, lijkt versleutelingsmogelijkheden te hebben, voornamelijk voor verduisteringsdoeleinden na een volledige accountovername.
Over het algemeen is Nexus Android Trojan een gevaarlijke trojan die al in meerdere frauduleuze campagnes is gebruikt. Hoewel de malware nog steeds in ontwikkeling is, heeft het al zijn capaciteiten getoond voor accountovernames en wereldwijd bereik, waardoor het een serieuze bedreiging vormt voor gebruikers van mobiel bankieren en cryptocurrency.
Tegenwoordig, vooral met de toenemende prevalentie van digitale valuta, is het erg belangrijk om jezelf te beschermen tegen dergelijke virussen en trojans. Onlangs werd het populaire YouTube-kanaal Linus Tech Tips gehackt en probeerden de hackers een soort crypto-zwendel te maken met behulp van een foto van Elon Musk.
Source: Nexus Android Trojan richt zich op uw crypto-portemonnees