Питання безпеки останнім часом стає все більш актуальним в онлайн-середовищі. Це пояснюється тим, що навіть відносно надійні інструменти, що забезпечують керування паролями, часто стають жертвами хакерських атак. У багатьох випадках зловмисники навіть не намагаються розробити власні інструменти з нуля, а використовують готові рішення, засновані, наприклад, на моделі MaaS, яка може бути розгорнута в різних формах і призначена для онлайн-моніторингу та оцінки даних. Однак в руках агресора він служить для зараження пристроїв і розповсюдження власного шкідливого контенту. Експертам з безпеки вдалося виявити використання такого MaaS під назвою Nexus, який має на меті отримання банківської інформації з пристроїв з Android за допомогою троянського коня.
компанія Чистий займаючись кібербезпекою, проаналізував принципи роботи системи Nexus, використовуючи зразки даних з підпільних форумів у співпраці з сервером TechRadar. Цей ботнет, тобто мережу скомпрометованих пристроїв, якими потім керує зловмисник, був вперше ідентифікований у червні минулого року та дозволяє своїм клієнтам здійснювати атаки ATO, скорочення від Account Takeover, за щомісячну плату в 3 доларів США. Nexus проникає у ваш системний пристрій Android маскуючись під легітимну програму, яка може бути доступна в часто сумнівних сторонніх магазинах програм, і містить не дуже дружній бонус у вигляді троянського коня. Після зараження пристрій жертви стає частиною ботнету.
Фото галерея
Nexus — це потужне зловмисне програмне забезпечення, яке може записувати облікові дані для входу в різні програми за допомогою клавіатурного журналу, фактично шпигуючи за вашою клавіатурою. Однак він також здатний викрадати коди двофакторної автентифікації, надіслані через SMS та informace із відносно безпечної програми Google Authenticator. Все це без вашого відома. Зловмисне програмне забезпечення може видаляти SMS-повідомлення після викрадення кодів, автоматично оновлювати їх у фоновому режимі або навіть поширювати інше шкідливе програмне забезпечення. Справжній кошмар безпеки.
Оскільки пристрої жертви є частиною ботнету, зловмисники, які використовують систему Nexus, можуть віддалено контролювати всіх ботів, заражені пристрої та отримані з них дані за допомогою простої веб-панелі. Повідомляється, що інтерфейс дозволяє налаштовувати систему та підтримує дистанційне введення приблизно 450 сторінок входу в банківські програми, що виглядають законно, для крадіжки даних.
Вас може зацікавити
Технічно Nexus є еволюцією банківського трояна SOVA з середини 2021 р. За словами Cleafy, схоже, вихідний код SOVA був викрадений оператором ботнету Android, яка орендувала застарілий MaaS. Організація, на якій запущено Nexus, використала частини цього вкраденого вихідного коду, а потім додала інші небезпечні елементи, як-от модуль програми-вимагача, здатний заблокувати ваш пристрій за допомогою шифрування AES, хоча він, здається, наразі неактивний.
Таким чином, Nexus має спільні команди та протоколи керування зі своїм сумнозвісним попередником, включаючи ігнорування пристроїв у тих самих країнах, які були в білому списку SOVA. Таким чином, обладнання, що працює в Азербайджані, Вірменії, Білорусі, Казахстані, Киргизстані, Молдові, Росії, Таджикистані, Узбекистані, Україні та Індонезії, ігнорується, навіть якщо інструмент встановлено. Більшість із цих країн є членами Співдружності Незалежних Держав, створеної після розпаду Радянського Союзу.
Фото галерея
Оскільки зловмисне програмне забезпечення є троянським конем, його виявлення може відбуватися на системному пристрої Android досить вимогливий. Можливим попередженням може бути незвичайне стрибок використання мобільних даних і Wi-Fi, який зазвичай свідчить про те, що зловмисне програмне забезпечення спілкується з пристроєм хакера або оновлюється у фоновому режимі. Інша підказка – ненормальний розряд батареї, коли пристрій не використовується активно. Якщо ви зіткнулися з будь-якою з цих проблем, варто подумати про резервне копіювання важливих даних і скинути налаштування пристрою до заводських налаштувань або звернутися до кваліфікованого спеціаліста з безпеки.
Щоб захистити себе від небезпечних зловмисних програм, таких як Nexus, завжди завантажуйте програми лише з надійних джерел, як-от Google Play Store, переконайтеся, що у вас встановлено останні оновлення, і надавайте програмам лише ті дозволи, які необхідні для їх запуску. Cleafy ще не розкрив масштаби ботнету Nexus, але в наші дні завжди краще бути обережним, ніж бути неприємним сюрпризом.
