یک عامل تهدید، مشتریان 450 بانک و خدمات ارزهای دیجیتال در سراسر جهان را با یک تروجان خطرناک اندرویدی هدف قرار می دهد که دارای ویژگی های متعددی برای ربودن حساب های آنلاین و به طور بالقوه استخراج وجوه از آنها است.
نویسندگان تروجان اندرویدی موسوم به Nexus این بدافزار را از طریق یک برنامه بدافزار بهعنوان سرویس (MaaS) که به تازگی اعلام شده است، در دسترس سایر عوامل تهدید قرار دادهاند که در آن افراد و گروهها میتوانند این بدافزار را اجاره یا مشترک شوند و از آن استفاده کنند. حملات خودشون
محققان شرکت امنیت سایبری ایتالیایی Cleafy اولین بار در ژوئن 2022 Nexus را مشاهده کردند، اما در آن زمان آن را به عنوان یک نوع به سرعت در حال تکامل یکی دیگر از تروجان های بانکی اندرویدی که آنها به عنوان "Sova" ردیابی می کردند. این بدافزار حاوی چندین تکه کد Sova بود و در آن زمان قابلیتی برای هدف قرار دادن بیش از 200 بانکداری تلفن همراه، ارزهای دیجیتال و سایر برنامه های مالی داشت. محققان Cleafy آنچه را که تصور میکردند نوع Sova پنهان در برنامههای جعلی با آرمهایی بود مشاهده کردند که نشان میداد این برنامهها آمازون، کروم، NFT و سایر برنامههای قابل اعتماد هستند.
یکی از بسیاری
Nexus یکی از چندین تروجان بانکی اندروید است که در چند ماه گذشته ظاهر شده اند و به تعداد زیادی از ابزارهای مشابه در حال حاضر در طبیعت اضافه شده اند. به عنوان مثال، در اوایل این ماه، محققان Cyble مشاهده کردند بدافزار جدید اندروید با نام GoatRAT هدف قرار دادن سیستم پرداخت خودکار موبایلی که اخیراً در برزیل معرفی شده است. در دسامبر 2022، Cyble یک تروجان بانکی اندروید دیگری را دید که با نام «پدرخوانده» ردیابی میشد، پس از یک وقفه با ویژگی های جدید مبهم سازی و ضد تشخیص پیشرفته. محققان سایبری متوجه شدند که این بدافزار به عنوان بدافزار قانونی در فروشگاه Google Play ظاهر شده است. دو نوع بدافزار به سختی حتی نوک کوه یخ هستند. تجزیه و تحلیل کسپرسکی نشان داد که حدود 200,000 تروجان بانکی جدید در سال 2022 ظاهر شد که نشان دهنده یک 100 درصد افزایش نسبت به سال 2021.
فدریکو والنتینی، رئیس تیم اطلاعاتی تهدیدات Cleafy، میگوید که مشخص نیست عوامل تهدید چگونه Nexus را در دستگاههای اندرویدی ارائه میکنند. والنتینی میگوید: «ما به جزئیات خاصی در مورد ناقل عفونت اولیه Nexus دسترسی نداشتیم، زیرا تحقیقات ما عمدتاً بر تجزیه و تحلیل رفتار و قابلیتهای آن متمرکز بود. او با اشاره به فیشینگ از طریق پیامهای متنی میگوید: «با این حال، بر اساس تجربه و دانش ما از بدافزارهای مشابه، معمولاً تروجانهای بانکی از طریق طرحهای مهندسی اجتماعی مانند smishing تحویل داده میشوند.»
در ژانویه 2023، محققان Cleafy این بدافزار را مشاهده کردند - که اکنون بیشتر تکامل یافته است - در چندین انجمن هک تحت نام Nexus ظاهر می شود. اندکی پس از آن، نویسندگان بدافزار شروع به در دسترس قرار دادن بدافزار در اختیار سایر عوامل تهدید از طریق برنامه جدید MaaS خود با قیمت نسبتاً 3,000 دلار در ماه کردند.
چندین ویژگی برای تصاحب حساب
تجزیه و تحلیل Cleafy از Nexus نشان داد که این بدافزار دارای چندین ویژگی برای فعال کردن تصاحب حساب است. از جمله آنها عملکردی برای انجام حملات همپوشانی و ثبت ضربه های کلید برای سرقت اطلاعات کاربری است. برای مثال، وقتی مشتری یک برنامه بانکی یا ارز دیجیتال هدف، سعی میکند با استفاده از یک دستگاه اندرویدی آسیبدیده به حساب خود دسترسی پیدا کند، Nexus صفحهای را ارائه میکند که دقیقاً شبیه صفحه ورود به برنامه واقعی است. سپس بدافزار از ویژگی keylogging خود برای گرفتن اعتبار قربانی همانطور که در صفحه ورود وارد شده است استفاده می کند.
مانند بسیاری از تروجانهای بانکی، Nexus میتواند پیامهای SMS را برای گرفتن کدهای احراز هویت دو مرحلهای برای دسترسی به حسابهای آنلاین رهگیری کند. Cleafy دریافت که Nexus میتواند از ویژگی سرویسهای دسترسپذیری Android برای سرقت دانهها و تعادل اطلاعات از کیف پولهای ارزهای دیجیتال، کوکیها از وبسایتهای مورد علاقه و کدهای دو عاملی برنامه Authenticator Google سوء استفاده کند.
همچنین به نظر میرسد که نویسندگان بدافزار قابلیتهای جدیدی را به Nexus اضافه کردهاند که در نسخهای که Cleafy در سال گذشته مشاهده کرد و در ابتدا تصور میکرد یک نوع Sova است، وجود نداشت. یکی از آنها قابلیتی است که پیام های احراز هویت دو مرحله ای SMS دریافتی را بی سر و صدا حذف می کند و دیگری عملکردی برای توقف یا فعال کردن ماژول سرقت کدهای Google Authenticator 2FA است. آخرین نوع Nexus همچنین دارای عملکردی برای بررسی دورهای سرور فرمان و کنترل (C2) برای بهروزرسانی و نصب خودکار هر چیزی است که ممکن است در دسترس باشد. ماژولی که به نظر می رسد هنوز در حال توسعه است، نشان می دهد که نویسندگان ممکن است یک قابلیت رمزگذاری را در بدافزار پیاده سازی کنند که به احتمال زیاد پس از تکمیل یک حساب کاربری، مسیرهای آن را مبهم می کند.
یک کار در حال پیشرفت؟
والنتینی می گوید تحقیقات کلیفی نشان می دهد که Nexus صدها سیستم را به خطر انداخته است. نکته قابل توجه این است که به نظر نمی رسد قربانیان در یک منطقه جغرافیایی خاص متمرکز شده باشند، اما به خوبی در سطح جهانی توزیع شده اند.
علیرغم عملکردهای زیاد این بدافزار برای تصاحب حساب های مالی آنلاین، محققان Cleafy ارزیابی کردند که Nexus هنوز در حال پیشرفت است. به گفته فروشنده امنیتی، یکی از نشانه ها وجود رشته های اشکال زدایی و عدم استفاده از مراجع در ماژول های خاصی از بدافزار است. Cleafy گفت، یکی دیگر از امتیازات، تعداد نسبتاً بالای پیامهای ثبتشده در کد است که نشان میدهد نویسندگان هنوز در حال ردیابی و گزارش در مورد تمام اقداماتی هستند که بدافزار انجام میدهد.
قابل ذکر است، بدافزار موجود در آواتار فعلی خود شامل یک ماژول محاسبات شبکه مجازی یا VNC نیست که به مهاجم راهی برای کنترل کامل دستگاه آلوده به Nexus از راه دور بدهد. ماژول VNC به عوامل تهدید اجازه می دهد تا کلاهبرداری روی دستگاه انجام دهند، یکی از خطرناک ترین انواع کلاهبرداری، زیرا انتقال پول از همان دستگاهی که قربانیان روزانه استفاده می کنند، آغاز می شود.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://www.darkreading.com/mobile/new-android-malware-targets-customers-of-450-financial-institutions-worldwide