Frågan om säkerhet har nyligen blivit allt mer aktuell i onlinemiljön. Detta beror på att även relativt pålitliga verktyg som tillhandahåller lösenordshantering ofta faller offer för hackerattacker. I många fall bryr sig angripare inte ens om att utveckla sina egna instrument från grunden utan använder sig av färdiga lösningar baserade på exempelvis MaaS-modellen, som kan sättas in i olika former och vars syfte är onlineövervakning och datautvärdering. Men i händerna på en angripare tjänar den till att infektera enheter och distribuera sitt eget skadliga innehåll. Säkerhetsexperter lyckades upptäcka användningen av en sådan MaaS som heter Nexus, som syftar till att få bankinformation från enheter med Android använder en trojansk häst.
företaget Klart som sysslar med cybersäkerhet analyserade Nexus-systemets arbetssätt med hjälp av exempeldata från underjordiska forum i samarbete med servern TechRadar. Detta botnät, det vill säga ett nätverk av komprometterade enheter som sedan kontrolleras av en angripare, identifierades först i juni förra året och låter sina kunder utföra ATO-attacker, en förkortning för Account Takeover, för en månadsavgift på 3 000 USD. Nexus infiltrerar din systemenhet Android maskerar sig som en legitim app som kan finnas tillgänglig i ofta tvivelaktiga appbutiker från tredje part och packar en inte så vänlig bonus i form av en trojansk häst. När offrets enhet väl är infekterad blir den en del av botnätet.
Fotogalerie
Nexus är en kraftfull skadlig programvara som kan registrera inloggningsuppgifter till olika applikationer med tangentloggning, i princip spionerar på ditt tangentbord. Men den kan också stjäla tvåfaktorsautentiseringskoder som levereras via SMS och informace från den annars relativt säkra Google Authenticator-applikationen. Allt detta utan din vetskap. Skadlig programvara kan radera SMS-meddelanden efter att ha stulit koder, automatiskt uppdatera dem i bakgrunden eller till och med distribuera annan skadlig programvara. En riktig säkerhetsmardröm.
Eftersom offrets enheter är en del av botnätet kan hotaktörer som använder Nexus-systemet fjärrövervaka alla bots, de infekterade enheterna och data som erhålls från dem, med hjälp av en enkel webbpanel. Gränssnittet tillåter enligt uppgift systemanpassning och stöder fjärrinjektion av cirka 450 legitima inloggningssidor för bankapplikationer för att stjäla data.
Du kan vara intresserad av
Tekniskt sett är Nexus en utveckling av SOVA-banktrojanen från mitten av 2021. Enligt Cleafy ser det ut som att SOVA-källkoden stals av en botnätoperatör Android, som leasade äldre MaaS. Entiteten som körde Nexus använde delar av den stulna källkoden och lade sedan till andra farliga element, till exempel en lösenprogramsmodul som kan låsa din enhet med AES-kryptering, även om detta inte verkar vara aktivt för närvarande.
Nexus delar därför kommandon och kontrollprotokoll med sin ökända föregångare, inklusive att ignorera enheter i samma länder som fanns på SOVAs vitlista. Således ignoreras hårdvara som är verksam i Azerbajdzjan, Armenien, Vitryssland, Kazakstan, Kirgizistan, Moldavien, Ryssland, Tadzjikistan, Uzbekistan, Ukraina och Indonesien även om verktyget är installerat. De flesta av dessa länder är medlemmar i samväldet av oberoende stater som bildades efter Sovjetunionens kollaps.
Fotogalerie
Eftersom skadlig programvara har karaktären av en trojansk häst, kan dess upptäckt vara på systemenheten Android ganska krävande. En möjlig varning kan vara att se ovanliga toppar i mobildata och Wi-Fi-användning, vilket vanligtvis indikerar att skadlig programvara kommunicerar med hackarens enhet eller uppdateras i bakgrunden. En annan ledtråd är onormal batteriladdning när enheten inte används aktivt. Om du stöter på något av dessa problem är det en bra idé att börja tänka på att säkerhetskopiera dina viktiga data och återställa enheten till fabriksinställningarna eller kontakta en kvalificerad säkerhetspersonal.
För att skydda dig mot skadlig skadlig programvara som Nexus, ladda alltid bara ned appar från pålitliga källor som Google Play Butik, se till att du har de senaste uppdateringarna installerade och ge bara appar de behörigheter som krävs för att köra dem. Cleafy har ännu inte avslöjat omfattningen av Nexus botnät, men nuförtiden är det alltid bättre att vara försiktig än att få en otäck överraskning.
