Νοημοσύνη δεδομένων Πλάτωνα.
Κάθετη Αναζήτηση & Αι.

Νέο κακόβουλο λογισμικό Android στοχεύει πελάτες 450 χρηματοπιστωτικών ιδρυμάτων παγκοσμίως

Ημερομηνία:

Ένας παράγοντας απειλών στοχεύει πελάτες 450 τραπεζών και υπηρεσιών κρυπτονομισμάτων σε όλο τον κόσμο με έναν επικίνδυνο Trojan Android που διαθέτει πολλαπλές δυνατότητες για την κλοπή διαδικτυακών λογαριασμών και πιθανή εξαγωγή κεφαλαίων από αυτούς.

Οι συντάκτες του αποκαλούμενου "Nexus" Android Trojan έχουν κάνει το κακόβουλο λογισμικό διαθέσιμο σε άλλους παράγοντες απειλών μέσω ενός πρόσφατα ανακοινωθέντος προγράμματος malware-as-a-service (MaaS), όπου άτομα και ομάδες μπορούν να νοικιάσουν ή να εγγραφούν στο κακόβουλο λογισμικό και να το χρησιμοποιήσουν σε τις δικές τους επιθέσεις.

Ερευνητές της ιταλικής εταιρείας κυβερνοασφάλειας Cleafy εντόπισαν για πρώτη φορά το Nexus τον Ιούνιο του 2022, αλλά εκείνη την εποχή το εκτίμησαν ότι ήταν ταχέως εξελισσόμενη παραλλαγή ενός άλλου Android banking Trojan που παρακολουθούσαν ως "Sova". Το κακόβουλο λογισμικό περιείχε πολλά κομμάτια κώδικα Sova και είχε δυνατότητες εκείνη την εποχή να στοχεύει περισσότερες από 200 mobile banking, κρυπτονομίσματα και άλλες οικονομικές εφαρμογές. Οι ερευνητές Cleafy παρατήρησαν αυτό που υπέθεσαν ότι ήταν η παραλλαγή Sova κρυμμένη σε ψεύτικες εφαρμογές με λογότυπα που υποδήλωναν ότι ήταν το Amazon, το Chrome, το NFT και άλλες αξιόπιστες εφαρμογές.

Ενα από πολλά

Το Nexus είναι ένα από τα πολλά trojan τραπεζικών Android που έχουν εμφανιστεί λίγους τελευταίους μήνες και έχουν προστεθεί στον ήδη μεγάλο αριθμό παρόμοιων εργαλείων που βρίσκονται αυτή τη στιγμή στη φύση. Νωρίτερα αυτό το μήνα, για παράδειγμα, ερευνητές από την Cyble ανέφεραν ότι παρατήρησαν νέο κακόβουλο λογισμικό Android με το όνομα GoatRAT στοχεύοντας ένα σύστημα αυτοματοποιημένων πληρωμών μέσω κινητών που εισήχθη πρόσφατα στη Βραζιλία. Τον Δεκέμβριο του 2022, η Cyble εντόπισε έναν άλλο τραπεζικό Trojan Android, τον οποίο παρακολουθούσε ως «Νονός», να επανεμφανίζεται μετά από ένα διάλειμμα με προηγμένα νέα χαρακτηριστικά θόλωσης και αντι-ανίχνευσης. Οι ερευνητές του κυβερνοχώρου βρήκαν το κακόβουλο λογισμικό να μεταμφιέζεται ως νόμιμο κακόβουλο λογισμικό στο Google Play store. Οι δύο παραλλαγές κακόβουλου λογισμικού είναι μόλις και η κορυφή του παγόβουνου. Μια ανάλυση της Kaspersky έδειξε ότι περίπου 200,000 νέα τραπεζικά Trojans εμφανίστηκαν το 2022, αντιπροσωπεύοντας 100% αύξηση σε σχέση με το 2021.

Ο Φεντερίκο Βαλεντίνι, επικεφαλής της ομάδας πληροφοριών απειλών του Cleafy, λέει ότι δεν είναι σαφές πώς οι φορείς απειλών προσφέρουν το Nexus σε συσκευές Android. «Δεν είχαμε πρόσβαση σε συγκεκριμένες λεπτομέρειες σχετικά με τον αρχικό φορέα μόλυνσης του Nexus, καθώς η έρευνά μας επικεντρώθηκε κυρίως στην ανάλυση της συμπεριφοράς και των δυνατοτήτων του», λέει ο Valentini. «Ωστόσο, με βάση την εμπειρία μας και τις γνώσεις μας για παρόμοιο κακόβουλο λογισμικό, είναι σύνηθες να παραδίδονται τραπεζικά Trojans μέσω προγραμμάτων κοινωνικής μηχανικής όπως το smishing», λέει, αναφερόμενος στο ηλεκτρονικό ψάρεμα μέσω μηνυμάτων κειμένου SMS.

Τον Ιανουάριο του 2023, οι ερευνητές του Cleafy εντόπισαν το κακόβουλο λογισμικό - τώρα πιο εξελιγμένο - να εμφανίζεται σε πολλά φόρουμ hacking με το όνομα Nexus. Λίγο αργότερα, οι συντάκτες του κακόβουλου λογισμικού άρχισαν να κάνουν το κακόβουλο λογισμικό διαθέσιμο σε άλλους παράγοντες απειλών μέσω του νέου προγράμματος MaaS για σχετικά $3,000 το μήνα.

Πολλαπλές δυνατότητες για εξαγορά λογαριασμού

Η ανάλυση του Nexus από τον Cleafy έδειξε ότι το κακόβουλο λογισμικό περιέχει πολλές δυνατότητες για την ενεργοποίηση της κατάληψης λογαριασμού. Μεταξύ αυτών είναι μια λειτουργία για την εκτέλεση επιθέσεων επικάλυψης και την καταγραφή πληκτρολογήσεων για την κλοπή διαπιστευτηρίων χρήστη. Όταν ένας πελάτης μιας στοχευόμενης εφαρμογής τραπεζικών ή κρυπτονομισμάτων, για παράδειγμα, επιχειρεί να αποκτήσει πρόσβαση στον λογαριασμό του χρησιμοποιώντας μια παραβιασμένη συσκευή Android, το Nexus εμφανίζει μια σελίδα που μοιάζει και λειτουργεί ακριβώς όπως η σελίδα σύνδεσης για την πραγματική εφαρμογή. Στη συνέχεια, το κακόβουλο λογισμικό χρησιμοποιεί τη δυνατότητα καταγραφής πληκτρολογίου για να αρπάξει τα διαπιστευτήρια του θύματος όπως έχουν εισαχθεί στη σελίδα σύνδεσης.

Όπως πολλά τραπεζικά Trojans, το Nexus μπορεί να υποκλέψει μηνύματα SMS για να πάρει κωδικούς ελέγχου ταυτότητας δύο παραγόντων για πρόσβαση σε διαδικτυακούς λογαριασμούς. Ο Cleafy βρήκε το Nexus ικανό να κάνει κατάχρηση της λειτουργίας Υπηρεσίες προσβασιμότητας του Android για να κλέψει σπόρους και να εξισορροπήσει πληροφορίες από πορτοφόλια κρυπτονομισμάτων, cookie από ιστότοπους ενδιαφέροντος και κωδικούς δύο παραγόντων της εφαρμογής Authenticator της Google.

Οι δημιουργοί κακόβουλου λογισμικού φαίνεται επίσης να έχουν προσθέσει νέες λειτουργίες στο Nexus που δεν υπήρχαν στην έκδοση που παρατήρησε ο Cleafy πέρυσι και αρχικά υπέθεσε ότι ήταν μια παραλλαγή Sova. Ένα από αυτά είναι μια δυνατότητα που διαγράφει αθόρυβα τα λαμβανόμενα μηνύματα ελέγχου ταυτότητας δύο παραγόντων SMS και μια άλλη είναι μια λειτουργία για τη διακοπή ή την ενεργοποίηση της μονάδας για την κλοπή κωδικών Google Authenticator 2FA. Η πιο πρόσφατη παραλλαγή του Nexus έχει επίσης μια λειτουργία για τον περιοδικό έλεγχο του διακομιστή εντολών και ελέγχου (C2) για ενημερώσεις και για αυτόματη εγκατάσταση όποιων μπορεί να είναι διαθέσιμες. Μια ενότητα που φαίνεται να βρίσκεται ακόμη υπό ανάπτυξη υποδηλώνει ότι οι συγγραφείς ενδέχεται να εφαρμόσουν μια δυνατότητα κρυπτογράφησης στο κακόβουλο λογισμικό που είναι πιο πιθανό να θολώσει τα ίχνη του μετά την ολοκλήρωση της εξαγοράς λογαριασμού.

Ένα έργο σε εξέλιξη;

Ο Valentini λέει ότι η έρευνα του Cleafy υποδηλώνει ότι το Nexus έχει θέσει σε κίνδυνο εκατοντάδες συστήματα. «Αυτό που είναι ιδιαίτερα αξιοσημείωτο είναι ότι τα θύματα δεν φαίνεται να συγκεντρώνονται σε μια συγκεκριμένη γεωγραφική περιοχή, αλλά είναι καλά κατανεμημένα παγκοσμίως».

Παρά τις πολλές λειτουργίες του κακόβουλου λογισμικού για την ανάληψη διαδικτυακών οικονομικών λογαριασμών, οι ερευνητές του Cleafy εκτίμησαν ότι το Nexus εξακολουθεί να είναι ένα έργο σε εξέλιξη. Μια ένδειξη, σύμφωνα με τον προμηθευτή ασφαλείας, είναι η παρουσία συμβολοσειρών εντοπισμού σφαλμάτων και η έλλειψη αναφορών χρήσης σε ορισμένες μονάδες του κακόβουλου λογισμικού. Ένα άλλο δώρο είναι ο σχετικά υψηλός αριθμός των μηνυμάτων καταγραφής στον κώδικα που υποδηλώνει ότι οι συγγραφείς βρίσκονται ακόμη στη διαδικασία παρακολούθησης και αναφοράς για όλες τις ενέργειες που εκτελεί το κακόβουλο λογισμικό, είπε ο Cleafy.

Σημειωτέον, το κακόβουλο λογισμικό στο σημερινό avatar του δεν περιλαμβάνει μια λειτουργική μονάδα Virtual Network Computing, ή VNC, που θα έδινε στον εισβολέα έναν τρόπο να αναλάβει τον πλήρη απομακρυσμένο έλεγχο μιας συσκευής που έχει μολυνθεί από το Nexus. «Η μονάδα VNC επιτρέπει στους παράγοντες απειλών να εκτελούν απάτη στη συσκευή, έναν από τους πιο επικίνδυνους τύπους απάτης, καθώς οι μεταφορές χρημάτων ξεκινούν από την ίδια συσκευή που χρησιμοποιούν τα θύματα καθημερινά».

spot_img

Τελευταία Νοημοσύνη

spot_img