Новости Nexus: преемник Android-трояна SOVA, нацеленный на 40 банковских приложений

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.044
Репутация
11.695
Реакции
61.864
RUB
50
Исследователи из Cyble обнаружили в даркнете рекламу нового банковского трояна для Android.


Анализ образцов Nexus показал, что по коду он схож с SOVA v.5, а список приложений для кражи учетных данных содержит 40 позиций. Эксперты полагают, что авторы SOVA попросту провели ребрендинг и обновили список атакуемых банков.

Новобранец распространяется с помощью поддельных страниц YouTube Vanced, отдающих его под видом одноименного клиента. По состоянию на 12 марта вредоносный APK детектируют 26 из 64 антивирусов коллекции VirusTotal.

image1nexus_banking_trojan.png


При первом запуске Nexus запрашивает доступ к Accessibility Service. Спецвозможности позволят банкеру расширить свой список разрешений, включить режим администратора, фиксировать ввод с клавиатуры. Совокупно троян запрашивает 50 различных разрешений.

Как минимум 14 из них используются для совершения следующих действий:

- чтение, перехват и отправка СМС;

- просмотр адресной книги, списка аккаунтов, текущих и недавно завершенных задач;

- подмена хранимых контактных данных;

- звонки без ведома пользователя;

- чтение, запись и удаление файлов на внешней карте памяти;

- отключение блокировки телефона и парольной защиты;

- установка дополнительных приложений.

Командный сервер Nexus расположен в США; соответствующий IP-адрес выделен германскому хостинг-провайдеру Hetzner Online.

Установив соединение, вредонос отсылает конфиденциальную информацию, в том числе журналы Accessibility и список установленных приложений. Последний при получении сравнивается со списком целевых банковских программ на 40 позиций. При выявлении совпадений резидентному зловреду отдается команда enableinject с именем пакета, инициирующая загрузку HTML-кода.

Фишинговая страница открывается в WebView при каждом запуске атакуемого приложения. Новоявленный банкер умеет воровать 2FA-коды из Google Authenticator, сид-фразы для получения доступа к Trust и Exodus, а также информацию о балансе на этих кошельках. Кроме того, Nexus, как и SOVA v5, снабжен модулем для шифрования файлов на зараженном устройстве. Используемый алгоритм тот же — AES.

 
Вредонос, распространяемый по модели MaaS, уже успел атаковать свыше 450 различных финансовых приложений.

image



Недавно появившийся на радарах банковский троян для Android, известный как Nexus, стремительно набирает популярность у злоумышленников: им пользуется уже множество разных хакерских группировок. Как сообщается, жертвами атаки Nexus стало уже по меньшей мере 450 финансовых приложений по всему миру.

Представители компании Cleafy , что вредонос находится на раннем этапе разработки, и впоследствии будет ещё не раз доработан. «Nexus предоставляет все основные функции для выполнения ATO-атак (Account Takeover) против банковских порталов и криптовалютных сервисов, таких как кража учётных данных и перехват SMS», — заявляют специалисты.

Троянец, появившийся на различных хакерских форумах в начале этого года, рекламируется как услуга по подписке ( ) за ежемесячную плату в размере 3000 долларов. Подробная информация о вредоносном ПО была впервые компанией ранее в этом месяце. Однако есть признаки того, что вредоносное ПО могло использоваться в реальных атаках еще в июне 2022 года, как минимум за шесть месяцев до его официального объявления на даркнет-площадках.

Большинство заражений трояном Nexus было зафиксировано на территории Турции, однако авторы вредоноса в своём Telegram-канале уверяют, что целенаправленной атаки на Турцию по политическим или иным причинам клиенты Nexus не устраивали.

Первоначально Nexus был классифицирован как очередная вариация другого банковского трояна — SOVA. И лишь спустя время исследователи поняли, что новый вредонос просто основан на коде старого, а также использует его модуль программы-вымогателя.

Интересно, что авторы Nexus изложили своим клиентам чёткие правила, запрещающие использование их вредоносной программы на территории Азербайджана, Армении, Беларуси, Казахстана, Кыргызстана, Молдовы, России, Таджикистана, Узбекистана, Украины и Индонезии. Это даёт понять, что авторы зловредного ПО, скорее всего, сами являются уроженцами одной из этих стран.

Вредоносная программа Nexus, как и многие другие банковские трояны, содержит функции для захвата учётных записей путём выполнения оверлейных атак и регистрации ключей. Кроме того, троян способен считывать коды двухфакторной аутентификации ( ) из SMS-сообщений и приложения Google Authenticator, злоупотребляя службами специальных возможностей Android.

Некоторыми новыми дополнениями к списку функций является способность Nexus удалять полученные SMS-сообщения, активировать или останавливать модуль кражи 2FA и самостоятельно обновлять себя, периодически пингуя C2-сервер.

«Модель MaaS позволяет преступникам наиболее эффективно монетизировать своё вредоносное ПО, предоставляя клиентам готовую инфраструктуру, которая затем может быть использована для атак по нужным им целям», — сообщают исследователи.








 
где можно найти это троянское программное обеспечение Nexus Android? я хочу купить .
 
где можно найти это троянское программное обеспечение Nexus Android? я хочу купить .
Не советую. У этих ребят денег нету даже на гаранта закинуть одного известного в этих кругах форума что бы им разрешили торговлю. Так же нету ни обзоров, ни тестов трояна.
 
у вас есть проверенный троян для андроида или ios? Я сейчас использую craxs rat, хочу найти для этого другой троян.
 
у вас есть проверенный троян для андроида или ios? Я сейчас использую craxs rat, хочу найти для этого другой троян.
Мы Гидрой пользовались, сейчас в поиске нового решения. А так есть из чего выбирать но не все подходят под мои критерии.
 
Мы Гидрой пользовались, сейчас в поиске нового решения. А так есть из чего выбирать но не все подходят под мои критерии.
у тебя есть телеграм? давайте обсудим и поработаем вместе?
 
Сверху Снизу