یک عامل تهدید، مشتریان 450 بانک و خدمات ارزهای دیجیتال در سراسر جهان را با یک تروجان خطرناک اندرویدی هدف قرار می دهد که دارای ویژگی های متعددی برای ربودن حساب های آنلاین و به طور بالقوه استخراج وجوه از آنها است.

نویسندگان تروجان اندرویدی موسوم به Nexus این بدافزار را از طریق یک برنامه بدافزار به‌عنوان سرویس (MaaS) که به تازگی اعلام شده است، در دسترس سایر عوامل تهدید قرار داده‌اند که در آن افراد و گروه‌ها می‌توانند این بدافزار را اجاره یا مشترک شوند و از آن استفاده کنند. حملات خودشون

محققان شرکت امنیت سایبری ایتالیایی Cleafy اولین بار در ژوئن 2022 Nexus را مشاهده کردند، اما در آن زمان آن را به عنوان یک نوع به سرعت در حال تکامل یکی دیگر از تروجان های بانکی اندرویدی که آنها به عنوان "Sova" ردیابی می کردند. این بدافزار حاوی چندین تکه کد Sova بود و در آن زمان قابلیتی برای هدف قرار دادن بیش از 200 بانکداری تلفن همراه، ارزهای دیجیتال و سایر برنامه های مالی داشت. محققان Cleafy آنچه را که تصور می‌کردند نوع Sova پنهان در برنامه‌های جعلی با آرم‌هایی بود مشاهده کردند که نشان می‌داد این برنامه‌ها آمازون، کروم، NFT و سایر برنامه‌های قابل اعتماد هستند.

یکی از بسیاری

Nexus یکی از چندین تروجان بانکی اندروید است که در چند ماه گذشته ظاهر شده اند و به تعداد زیادی از ابزارهای مشابه در حال حاضر در طبیعت اضافه شده اند. به عنوان مثال، در اوایل این ماه، محققان Cyble مشاهده کردند بدافزار جدید اندروید با نام GoatRAT هدف قرار دادن سیستم پرداخت خودکار موبایلی که اخیراً در برزیل معرفی شده است. در دسامبر 2022، Cyble یک تروجان بانکی اندروید دیگری را دید که با نام «پدرخوانده» ردیابی می‌شد، پس از یک وقفه با ویژگی های جدید مبهم سازی و ضد تشخیص پیشرفته. محققان سایبری متوجه شدند که این بدافزار به عنوان بدافزار قانونی در فروشگاه Google Play ظاهر شده است. دو نوع بدافزار به سختی حتی نوک کوه یخ هستند. تجزیه و تحلیل کسپرسکی نشان داد که حدود 200,000 تروجان بانکی جدید در سال 2022 ظاهر شد که نشان دهنده یک 100 درصد افزایش نسبت به سال 2021.

فدریکو والنتینی، رئیس تیم اطلاعاتی تهدیدات Cleafy، می‌گوید که مشخص نیست عوامل تهدید چگونه Nexus را در دستگاه‌های اندرویدی ارائه می‌کنند. والنتینی می‌گوید: «ما به جزئیات خاصی در مورد ناقل عفونت اولیه Nexus دسترسی نداشتیم، زیرا تحقیقات ما عمدتاً بر تجزیه و تحلیل رفتار و قابلیت‌های آن متمرکز بود. او با اشاره به فیشینگ از طریق پیام‌های متنی می‌گوید: «با این حال، بر اساس تجربه و دانش ما از بدافزارهای مشابه، معمولاً تروجان‌های بانکی از طریق طرح‌های مهندسی اجتماعی مانند smishing تحویل داده می‌شوند.»

در ژانویه 2023، محققان Cleafy این بدافزار را مشاهده کردند - که اکنون بیشتر تکامل یافته است - در چندین انجمن هک تحت نام Nexus ظاهر می شود. اندکی پس از آن، نویسندگان بدافزار شروع به در دسترس قرار دادن بدافزار در اختیار سایر عوامل تهدید از طریق برنامه جدید MaaS خود با قیمت نسبتاً 3,000 دلار در ماه کردند.

چندین ویژگی برای تصاحب حساب

تجزیه و تحلیل Cleafy از Nexus نشان داد که این بدافزار دارای چندین ویژگی برای فعال کردن تصاحب حساب است. از جمله آنها عملکردی برای انجام حملات همپوشانی و ثبت ضربه های کلید برای سرقت اطلاعات کاربری است. برای مثال، وقتی مشتری یک برنامه بانکی یا ارز دیجیتال هدف، سعی می‌کند با استفاده از یک دستگاه اندرویدی آسیب‌دیده به حساب خود دسترسی پیدا کند، Nexus صفحه‌ای را ارائه می‌کند که دقیقاً شبیه صفحه ورود به برنامه واقعی است. سپس بدافزار از ویژگی keylogging خود برای گرفتن اعتبار قربانی همانطور که در صفحه ورود وارد شده است استفاده می کند.

مانند بسیاری از تروجان‌های بانکی، Nexus می‌تواند پیام‌های SMS را برای گرفتن کدهای احراز هویت دو مرحله‌ای برای دسترسی به حساب‌های آنلاین رهگیری کند. Cleafy دریافت که Nexus می‌تواند از ویژگی سرویس‌های دسترس‌پذیری Android برای سرقت دانه‌ها و تعادل اطلاعات از کیف پول‌های ارزهای دیجیتال، کوکی‌ها از وب‌سایت‌های مورد علاقه و کدهای دو عاملی برنامه Authenticator Google سوء استفاده کند.

همچنین به نظر می‌رسد که نویسندگان بدافزار قابلیت‌های جدیدی را به Nexus اضافه کرده‌اند که در نسخه‌ای که Cleafy در سال گذشته مشاهده کرد و در ابتدا تصور می‌کرد یک نوع Sova است، وجود نداشت. یکی از آنها قابلیتی است که پیام های احراز هویت دو مرحله ای SMS دریافتی را بی سر و صدا حذف می کند و دیگری عملکردی برای توقف یا فعال کردن ماژول سرقت کدهای Google Authenticator 2FA است. آخرین نوع Nexus همچنین دارای عملکردی برای بررسی دوره‌ای سرور فرمان و کنترل (C2) برای به‌روزرسانی و نصب خودکار هر چیزی است که ممکن است در دسترس باشد. ماژولی که به نظر می رسد هنوز در حال توسعه است، نشان می دهد که نویسندگان ممکن است یک قابلیت رمزگذاری را در بدافزار پیاده سازی کنند که به احتمال زیاد پس از تکمیل یک حساب کاربری، مسیرهای آن را مبهم می کند.

یک کار در حال پیشرفت؟

والنتینی می گوید تحقیقات کلیفی نشان می دهد که Nexus صدها سیستم را به خطر انداخته است. نکته قابل توجه این است که به نظر نمی رسد قربانیان در یک منطقه جغرافیایی خاص متمرکز شده باشند، اما به خوبی در سطح جهانی توزیع شده اند.

علیرغم عملکردهای زیاد این بدافزار برای تصاحب حساب های مالی آنلاین، محققان Cleafy ارزیابی کردند که Nexus هنوز در حال پیشرفت است. به گفته فروشنده امنیتی، یکی از نشانه ها وجود رشته های اشکال زدایی و عدم استفاده از مراجع در ماژول های خاصی از بدافزار است. Cleafy گفت، یکی دیگر از امتیازات، تعداد نسبتاً بالای پیام‌های ثبت‌شده در کد است که نشان می‌دهد نویسندگان هنوز در حال ردیابی و گزارش در مورد تمام اقداماتی هستند که بدافزار انجام می‌دهد.

قابل ذکر است، بدافزار موجود در آواتار فعلی خود شامل یک ماژول محاسبات شبکه مجازی یا VNC نیست که به مهاجم راهی برای کنترل کامل دستگاه آلوده به Nexus از راه دور بدهد. ماژول VNC به عوامل تهدید اجازه می دهد تا کلاهبرداری روی دستگاه انجام دهند، یکی از خطرناک ترین انواع کلاهبرداری، زیرا انتقال پول از همان دستگاهی که قربانیان روزانه استفاده می کنند، آغاز می شود.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
• منبع: https://www.darkreading.com/mobile/new-android-malware-targets-customers-of-450-financial-institutions-worldwide