Novi Android Trojan Nexus

Novi Android Trojan Nexus ima mogućnost napada na više od 450 bankarskih organizacija i kripto servisa.

Novi Android Trojan Nexus; Dizajn: Saša Đurić

Novi Android Trojan

Sigurnosna kompanija Cleafy je otkrila novi Android zlonamjerni softver u nekoliko kampanja širom svijeta. Zlonamjerni softver je nazvan Nexus i reklamira se sa opcijom zlonamjernog softvera kao usluge (eng. Malware-as-a-Service – MaaS) uz mogućnost napada preuzimanjem korisničkih naloga (eng. account takeover – ATO).

Analiza uzoraka zlonamjernog softvera Nexus je pokazala sličnost kôda sa zlonamjernim softverom SOVA, Android bankarskim trojacem otkrivenim sredinom 2021. godine. Sigurnosni istraživači smatraju da je Nexus nova ažurirana verzija zlonamjernog softvera SOVA.

“U januaru 2023. godine, novi Android bankarski trojanac se pojavio a više foruma za hakovanje pod imenom Nexus. Međutim, [mi] smo pratili prve Nexus infekcije mnogo pre javnog objavljivanja u junu 2022. Uprkos novom MaaS programu koji je pokrenut pod imenom Nexus, autori su možda ponovo koristili neke dijelove internih dijelova zlonamjernog softvera SOVA da bi napisali nove funkcije (i prepisali neke od postojećih).

Nedavno je autor zlonamjernog softvera SOVA, koji radi pod pseudonimom “sovenok“, počeo da djeli neke uvide o Nexus-u i njegovom odnosu sa SOVA zlonamjernim softverom, prozivajući filijalu koja je prethodno iznajmila SOVA softver zbog krađe cijelog izvornog koda projekta.”

 

– Cleafy

Nexus mogućnosti

Pored mogućnosti preuzimanja korisničkih naloga (ATO), Nexus nudi preklapajuće napade (eng. overlay attacks) i praćenje korisničke aktivnost unosa podataka – Keylogger. Takođe može da ukrade SMS poruke (za dobijanje kodova za autentifikaciju u dva koraka) i informacije iz novčanika kriptovaluta. Nexus zlonamjerni softver dolazi sa mogućnošću samostalnog ažuriranja sa posebnom funkcijom asinhrone komunikacije komandnim serverom u potrazi za novim ažuriranjima. Pored svega ovaj zlonamjerni softver ima i modul sposoban za šifrovanje podataka, što upućuje na mogućnosti ransomware napada.

Sigurnosni istraživači su primijetili da ovom zlonamjerno softveru nedostaje virtualni mrežni računarski modul  (eng. virtual network computing – VNC) koji bi napadačima dao mogućnost daljinskog pristupa, što je trenutno ograničavajući faktora za ovaj zlonamjerni softver.

Nexus kao usluga

Android Trojan Nexus se reklamira na Ruskim hakerskim forumima kao novi projekat koji je kompatibilan sa svim verzijama Android operativnog sistema, sve do verzije Android 13. Kao i svi ostali bankarski zlonamjerni softveri koji se nude kroz pretplatnički model korištenja i ovdje zainteresovani akteri plaćaju autorima ovog zlonamjernog softvera njegovo korištenje. Treba napomenuti, da su autori zlonamjernog softvera Nexus postavili ograničenja, tako da se ovaj softver ne može koristiti za napade na: Azerbejdžan, Jermeniju, Belorusiju, Kazahstan, Kirgistan, Moldaviju, Rusiju, Tadžikistan, Uzbekistan, Ukrajinu i Indoneziju.

Image by Biljana Jovanovic from Pixabay

Zaštita

Kada je u pitanju Nexus zlonamjerni softver i drugi zlonamjerni softveri za Android, prvi način na koji korisnici mogu zaštitit svoje uređaje i podatke koje oni sadrže jeste da ne instaliraju aplikacije sa strane, odnosno van službenih prodavnica. Iako je možda zgodno instalirati aplikaciju bez prolaska kroz zvaničnu prodavnicu aplikacija kao što je Google Play prodavnica, ovo može biti opasno za korisnika, jer instalaciona APK datoteka može zapravo da sadrži zlonamjerni kôd.

Korisnici bi trebalo da imaju omogućenu Google Play zaštitu na Android pametnom telefonu, jer skenira sve nove aplikacije koje se instaliraju, kao i postojeće aplikacije na prisustvo zlonamjernog softvera. Za dodatnu zaštitu, korisnici mogu instalirati neku od provjerenih antivirusnih Android aplikacija.

Čak i u slučaju preuzimanja aplikacija samo iz zvaničnih izvora, i dalje postoji šansa da slučajno dođe do instalacije zlonamjerne aplikacije. Loše aplikacije uspijevaju da s vremena na vreme da se provuku kraj bezbjednosnih mehanizama, zbog čega korisnici uvijek treba da budu oprezni kod instalacije bilo koje nove aplikacije. Preporuka je da se pročitaju recenzije, napravi istraživanje, pa ako se aplikacija čini previše dobra da bi bila istinita, vjerovatno je u pitanju  zlonamjerna aplikacija.

Pošto se Android Trojan Nexus još uvijek aktivno razvija i vjerovatno donosi dosta novca svojim autorima, ovo vjerovatno nije posljednji put da čujemo za njega, posebno pošto mu se dodaju nove mogućnosti.