来自Cleafy的网络安全公司专家警告说,一个新兴的安卓银行木马 Nexus,针对多达450个金融应用,被多个网络犯罪团在的攻击中使用。
3月初,威胁情报公司Cyble的研究人员首次分析了Nexus勒索软件。Nexus可通过恶意软件即服务(MaaS)订购,以每月3000美元的价格出租,自2023年1月起在地下论坛或通过私人渠道(如Telegram)进行推广。
然而,根据Cleafy的威胁情报与响应团队报告,早在2022年6月就检测到了名列前茅批Nexus感染,比MaaS的公开广告早了几个月。专家认为,尽管有多个活动在野外积极使用Nexus木马,但Nexus木马仍处于发展的早期阶段。
在Cleafy发布的分析报告中写道:Nexus提供对银行门户网站和加密货币服务进行ATO攻击(账户接管)的所有主要功能,如凭证窃取和短信拦截。它还提供了一个针对450个金融应用程序的内置注入列表。
据观察,Nexus完全是从零开始编写的,但研究人员发现Nexus和SOVA银行木马之间有相似之处,后者于2021年8月出现在威胁领域。Nexus木马可以针对多个银行和加密货币,企图控制客户的账户。它依靠叠加攻击和键盘记录功能来获取客户的凭证。
该恶意软件还支持通过滥用安卓的可访问性服务,使用短信或谷歌认证器应用程序绕过双因素认证(2FA)的功能。同时,该安卓木马还支持自动更新机制。
那么它对安卓用户是否构成威胁?安全专家表示,根据从多个C2面板检索到的感染率,Nexus绝对是一个真正的威胁,它能够感染世界各地的数百台设备。因此我们不得不做好准备,防患于未然。
参考来源:www.securityaffairs.com/143910/malware/nexus-android-banking-trojan.html
文章来自:https://www.freebuf.com/
