Nexus Banking Trojaner

Der Banking-Trojaner Nexus ist eine Art von mobiler Malware, die auf Android-Betriebssysteme abzielt. Die Bedrohung ist im Wesentlichen eine umbenannte Version des zuvor identifizierten und verfolgten SOVA-Banking-Trojaners. Sein Hauptziel ist es, Bank- und Finanzinformationen von den infizierten Geräten seiner Opfer zu stehlen. Es hat jedoch auch verschiedene bösartige Funktionen, die es zu einer bedeutenderen Bedrohung machen.

Nexus kann Aktionen wie das Stehlen von Anmeldeinformationen für andere Anwendungen, das Aufzeichnen von Audio und das Erstellen von Screenshots ausführen. Diese Art von Malware kann auch Spyware-Funktionen ausführen, wie z. B. den Zugriff auf Kontakte, Nachrichten und andere sensible Informationen, die auf dem Gerät gespeichert sind. Als solches stellt es eine erhebliche Bedrohung sowohl für die Privatsphäre als auch für die Cybersicherheit dar. Details über den Android-Banking-Trojaner Nexus wurden von den Forschern von Cyble der Öffentlichkeit zugänglich gemacht.

Der Nexus-Banking-Trojaner sammelt vertrauliche Informationen von infizierten Geräten

Die Nexus-Malware erlangt die Kontrolle über die Geräte der Benutzer, indem sie die Android Accessibility Services missbraucht. Diese legitime Funktion soll Benutzern dabei helfen, ihre Geräte einfacher zu bedienen, indem sie Klicks simuliert, angezeigten Text liest usw. Sobald die Malware ein Gerät (normalerweise als legitime App getarnt) infiltriert, fordert sie Benutzer auf, Barrierefreiheitsdienste zu aktivieren. die auf verschiedene Weise mit der Maschine interagieren können.

Nachdem Nexus die Kontrolle über die Barrierefreiheitsdienste erlangt hat, kann es seine Privilegien eskalieren und sich selbst zusätzliche Berechtigungen erteilen, einschließlich der Möglichkeit, Benutzer daran zu hindern, die Barrierefreiheitsdienste zu deaktivieren, und Google Play Protect und andere Passwortsicherheitsmaßnahmen zu deaktivieren.

Nexus sammelt verschiedene Geräteinformationen, einschließlich Telefonmodell, Betriebssystemversion, IMEI, Batteriestatus, IP-Adresse (Geolokalisierung), SIM-Karten-ID, Telefonnummer und Mobilfunknetzdaten. Die Malware zielt speziell auf über vierzig beliebte Bankanwendungen ab, überprüft die Liste der auf dem Gerät installierten Anwendungen und lädt den entsprechenden HTML-Injection-Code für jede Banking-App herunter. Dieser Code erstellt ein gefälschtes Overlay, das ausgelöst wird, wenn der Benutzer mit der legitimen Banking-App interagiert, und fordert den Benutzer auf, seine Anmeldeinformationen einzugeben.

Sobald der Benutzer seine Anmeldeinformationen eingibt, sendet die Malware diese an die Angreifer und verschafft ihnen Zugriff auf das Bankkonto des Benutzers. Da die Malware den Benutzer daran hindern kann, die Barrierefreiheitsdienste zu deaktivieren, kann sie weiterhin vertrauliche Informationen sammeln und das Gerät des Benutzers gefährden.

Der Nexus-Banking-Trojaner erlangt die Kontrolle über die angegriffenen Geräte

Der Nexus-Trojaner ist eine bösartige Software, die über verschiedene Funktionen verfügt, die ihm helfen, die Kontrolle über sensible Inhalte, insbesondere Bankkonten, zu erlangen. Eine seiner Schlüsselfähigkeiten ist die Fähigkeit, Tastenanschläge aufzuzeichnen (Keylogging), die verwendet werden können, um Anmeldedaten und andere sensible Informationen zu erfassen.

Darüber hinaus kann Nexus auch SMS-Nachrichten, Anrufe und Benachrichtigungen verwalten. Es kann Textnachrichten lesen, abfangen, verbergen, löschen und sogar an bestimmte Nummern oder alle Kontakte senden. Dadurch kann es OTPs und 2FAs/MFAs erhalten, die über Textnachrichten gesendet werden, sowie Informationen von Google Authenticator.

Nexus kann auch heimlich Telefonanrufe tätigen und weiterleiten sowie Kontaktinformationen ändern. Dies bedeutet, dass es für Toll Fraud-Malware verwendet werden könnte. Es kann Nachrichten an alle Kontakte senden, was zu einer Verbreitung von Spam-SMS-Nachrichten führen kann.

Darüber hinaus kann der Trojaner Benachrichtigungen verwalten, indem er gefälschte Benachrichtigungen liest, abfängt, versteckt und sogar anzeigt. Es kann auch laufende Prozesse überprüfen, Programme löschen, Apps öffnen, das Gerät sperren/entsperren, Ton stumm/laut schalten, URLs über Browser öffnen, gefälschte Systemwarnungs-Overlays anzeigen, Benutzerkontenlisten abrufen und Anmeldeinformationen und Guthaben für Kryptowährungs-Wallets abrufen.

Nexus kann auch Dateien von angeschlossenen externen Speichermedien lesen und löschen, die dazu verwendet werden könnten, Ketteninfektionen zu verursachen, indem zusätzliche bösartige Inhalte in Geräte eingeschleust werden. Obwohl es derzeit anscheinend hauptsächlich verwendet wird, um HTML-Injektionspakete für Banking-Apps zu erhalten, könnte es möglicherweise geändert werden, um Geräte mit zusätzlicher Malware wie Ransomware zu infizieren.