Киберпреступники выбирают Nexus: опасный троян для Android набирает популярность на хакерских форумах

Недавно появившийся на радарах банковский троян для Android, известный как Nexus, стремительно набирает популярность у злоумышленников: им пользуется уже множество разных хакерских группировок. Как сообщается, жертвами атаки Nexus стало уже по меньшей мере 450 финансовых приложений по всему миру.

Представители компании Cleafy считают , что вредонос находится на раннем этапе разработки, и впоследствии будет ещё не раз доработан. «Nexus предоставляет все основные функции для выполнения ATO-атак (Account Takeover) против банковских порталов и криптовалютных сервисов, таких как кража учётных данных и перехват SMS», — заявляют специалисты.

Троянец, появившийся на различных хакерских форумах в начале этого года, рекламируется как услуга по подписке ( MaaS ) за ежемесячную плату в размере 3000 долларов. Подробная информация о вредоносном ПО была впервые задокументирована компанией Cyble ранее в этом месяце. Однако есть признаки того, что вредоносное ПО могло использоваться в реальных атаках еще в июне 2022 года, как минимум за шесть месяцев до его официального объявления на даркнет-площадках.

Большинство заражений трояном Nexus было зафиксировано на территории Турции, однако авторы вредоноса в своём Telegram-канале уверяют, что целенаправленной атаки на Турцию по политическим или иным причинам клиенты Nexus не устраивали.

Первоначально Nexus был классифицирован как очередная вариация другого банковского трояна — SOVA. И лишь спустя время исследователи поняли, что новый вредонос просто основан на коде старого, а также использует его модуль программы-вымогателя.

Интересно, что авторы Nexus изложили своим клиентам чёткие правила, запрещающие использование их вредоносной программы на территории Азербайджана, Армении, Беларуси, Казахстана, Кыргызстана, Молдовы, России, Таджикистана, Узбекистана, Украины и Индонезии. Это даёт понять, что авторы зловредного ПО, скорее всего, сами являются уроженцами одной из этих стран.

Вредоносная программа Nexus, как и многие другие банковские трояны, содержит функции для захвата учётных записей путём выполнения оверлейных атак и регистрации ключей. Кроме того, троян способен считывать коды двухфакторной аутентификации ( 2FA ) из SMS-сообщений и приложения Google Authenticator, злоупотребляя службами специальных возможностей Android.

Некоторыми новыми дополнениями к списку функций является способность Nexus удалять полученные SMS-сообщения, активировать или останавливать модуль кражи 2FA и самостоятельно обновлять себя, периодически пингуя C2-сервер .

«Модель MaaS позволяет преступникам наиболее эффективно монетизировать своё вредоносное ПО, предоставляя клиентам готовую инфраструктуру, которая затем может быть использована для атак по нужным им целям», — сообщают исследователи.