Nexus-Android-Trojaner

Ein aufkommender Android-Banking-Trojaner namens „Nexus“ wurde bereits zu den bösartigen Tools mehrerer Bedrohungsakteure hinzugefügt. Die Cyberkriminellen haben die Bedrohung genutzt, um ungefähr 450 Finanzanwendungen anzugreifen und betrügerische Aktivitäten durchzuführen.

Laut der italienischen Cybersicherheit, die einen Bericht über die Bedrohung veröffentlicht hat, scheint sich Nexus in einem frühen Entwicklungsstadium zu befinden. Der Trojaner bietet jedoch alle notwendigen Funktionen, um Account-Takeover-Angriffe (ATO) gegen Bankportale und Kryptowährungsdienste durchzuführen, wie z. B. das Stehlen von Anmeldeinformationen und das Abfangen von SMS-Nachrichten. Die bösartigen Fähigkeiten von Nexus machen es zu einem ausgeklügelten und gefährlichen Banking-Trojaner, der seinen Opfern erheblichen finanziellen Schaden zufügen kann. Nexus wurde speziell entwickelt, um Android-Geräte zu kompromittieren.

Der Nexus-Banking-Trojaner wird als Abonnementdienst angeboten

Es wurde festgestellt, dass der Nexus Banking-Trojaner in verschiedenen Hacking-Foren für 3.000 US-Dollar pro Monat als MaaS-Schema (Malware-as-a-Service) zum Verkauf angeboten wird. Es gibt jedoch Hinweise darauf, dass der Trojaner möglicherweise bereits im Juni 2022, also mindestens sechs Monate vor seiner offiziellen Ankündigung auf den Darknet-Portalen, bei realen Angriffen eingesetzt wurde.

Die Malware-Autoren haben laut ihrem eigenen Telegram-Kanal bestätigt, dass die meisten Nexus-Infektionen in der Türkei gemeldet wurden. Darüber hinaus wurde festgestellt, dass sich die Malware-Bedrohung mit einem anderen Banking-Trojaner namens SOVA überschneidet, der tatsächlich Teile seines Quellcodes wiederverwendet. Der Nexus-Trojaner enthält auch ein Ransomware-Modul, das anscheinend aktiv entwickelt wird.

Interessanterweise haben die Autoren von Nexus explizite Regeln aufgestellt, die die Verwendung ihrer Malware in mehreren Ländern verbieten, darunter Aserbaidschan, Armenien, Weißrussland, Kasachstan, Kirgisistan, Moldawien, Russland, Tadschikistan, Usbekistan, Ukraine und Indonesien.

Umfangreiche Liste der im Nexus-Banking-Trojaner gefundenen Bedrohungsfunktionen

Nexus wurde speziell entwickelt, um unbefugten Zugriff auf die Bank- und Kryptowährungskonten der Benutzer zu erhalten, indem verschiedene Techniken wie Overlay-Angriffe und Keylogging eingesetzt werden. Durch diese Methoden stiehlt die Malware die Anmeldeinformationen der Benutzer und andere sensible Informationen.

Zusätzlich zu diesen Taktiken hat die Malware die Fähigkeit, Zwei-Faktor-Authentifizierungscodes (2FA) sowohl aus SMS-Nachrichten als auch aus der Google Authenticator-App zu lesen. Dies wird durch die Nutzung von Barrierefreiheitsdiensten in Android ermöglicht.

Darüber hinaus wurde die Malware um neue Funktionen erweitert, wie z. B. die Fähigkeit, empfangene SMS-Nachrichten zu entfernen, das 2FA-Stealer-Modul zu aktivieren oder zu deaktivieren und sich selbst zu aktualisieren, indem sie regelmäßig mit einem Command-and-Control (C2)-Server kommuniziert. Diese neuen Funktionen machen die Malware noch gefährlicher und schwieriger zu erkennen.