Kwestia bezpieczeństwa staje się ostatnio coraz bardziej istotna w środowisku internetowym. Dzieje się tak dlatego, że nawet stosunkowo godne zaufania narzędzia umożliwiające zarządzanie hasłami często padają ofiarą ataków hakerskich. W wielu przypadkach atakujący nawet nie zadają sobie trudu tworzenia od podstaw własnych instrumentów, lecz korzystają z gotowych rozwiązań opartych np. o model MaaS, które można wdrażać w różnych formach i których celem jest monitorowanie online i ocena danych. Jednak w rękach agresora służy do infekowania urządzeń i dystrybucji własnej szkodliwej zawartości. Eksperci ds. bezpieczeństwa odkryli zastosowanie takiego MaaS o nazwie Nexus, którego celem jest pozyskiwanie informacji bankowych z urządzeń wyposażonych w Android za pomocą konia trojańskiego.
Spółka Czyste zajmujący się cyberbezpieczeństwem przeanalizował sposób działania systemu Nexus wykorzystując przykładowe dane z podziemnych forów we współpracy z serwerem TechRadar. Ten botnet, czyli sieć zainfekowanych urządzeń, które następnie są kontrolowane przez osobę atakującą, został po raz pierwszy zidentyfikowany w czerwcu ubiegłego roku i umożliwia swoim klientom przeprowadzanie ataków ATO, w skrócie Account Takeover, za miesięczną opłatą w wysokości 3 USD. Nexus infiltruje Twoje urządzenie systemowe Android udający legalną aplikację, która może być dostępna w często wątpliwych zewnętrznych sklepach z aplikacjami i dostarczający niezbyt przyjazny bonus w postaci konia trojańskiego. Po zainfekowaniu urządzenie ofiary staje się częścią botnetu.
Galeria zdjęć
Nexus to potężne złośliwe oprogramowanie, które może rejestrować dane logowania do różnych aplikacji za pomocą keyloggera, w zasadzie szpiegując twoją klawiaturę. Jednak jest również w stanie kraść kody uwierzytelniania dwuskładnikowego dostarczane za pośrednictwem wiadomości SMS i informace z skądinąd stosunkowo bezpiecznej aplikacji Google Authenticator. Wszystko to bez Twojej wiedzy. Złośliwe oprogramowanie może usuwać wiadomości SMS po kradzieży kodów, automatycznie aktualizować je w tle, a nawet rozpowszechniać inne złośliwe oprogramowanie. Prawdziwy koszmar bezpieczeństwa.
Ponieważ urządzenia ofiary stanowią część botnetu, przestępcy korzystający z systemu Nexus mogą zdalnie monitorować wszystkie boty, zainfekowane urządzenia i uzyskane od nich dane za pomocą prostego panelu WWW. Interfejs podobno umożliwia dostosowywanie systemu i obsługuje zdalne wstrzykiwanie około 450 legalnie wyglądających stron logowania do aplikacji bankowych w celu kradzieży danych.
Mógłbyś być zainteresowany
Technicznie rzecz biorąc, Nexus jest ewolucją trojana bankowego SOVA z połowy 2021 r. Według Cleafy’ego wygląda na to, że kod źródłowy SOVA został skradziony przez operatora botnetu Android, która dzierżawiła dotychczasowy system MaaS. Podmiot obsługujący Nexusa wykorzystał części skradzionego kodu źródłowego, a następnie dodał inne niebezpieczne elementy, takie jak moduł ransomware zdolny do blokowania urządzenia przy użyciu szyfrowania AES, chociaż nie wydaje się to obecnie aktywne.
Dlatego Nexus dzieli polecenia i protokoły kontrolne ze swoim niesławnym poprzednikiem, w tym ignoruje urządzenia w tych samych krajach, które znajdowały się na białej liście SOVA. Dlatego sprzęt działający w Azerbejdżanie, Armenii, Białorusi, Kazachstanie, Kirgistanie, Mołdawii, Rosji, Tadżykistanie, Uzbekistanie, Ukrainie i Indonezji jest ignorowany, nawet jeśli narzędzie jest zainstalowane. Większość z tych krajów jest członkami Wspólnoty Niepodległych Państw powstałej po upadku Związku Radzieckiego.
Galeria zdjęć
Ponieważ złośliwe oprogramowanie ma charakter konia trojańskiego, jego wykrycie może nastąpić na urządzeniu systemowym Android dość wymagający. Możliwym ostrzeżeniem mogą być nietypowe skoki danych mobilnych i wykorzystania Wi-Fi, które zwykle wskazują, że złośliwe oprogramowanie komunikuje się z urządzeniem hakera lub aktualizuje się w tle. Kolejną wskazówką jest nieprawidłowe zużycie baterii, gdy urządzenie nie jest aktywnie używane. Jeśli napotkasz którykolwiek z tych problemów, warto pomyśleć o utworzeniu kopii zapasowej ważnych danych i zresetowaniu urządzenia do ustawień fabrycznych lub skontaktowaniu się z wykwalifikowanym specjalistą ds. bezpieczeństwa.
Aby chronić się przed niebezpiecznym złośliwym oprogramowaniem, takim jak Nexus, zawsze pobieraj aplikacje wyłącznie z zaufanych źródeł, takich jak Sklep Google Play, upewnij się, że masz zainstalowane najnowsze aktualizacje i udzielaj aplikacjom tylko uprawnień niezbędnych do ich uruchomienia. Firma Cleafy nie ujawniła jeszcze zasięgu botnetu Nexus, ale obecnie zawsze lepiej jest zachować ostrożność, niż narazić się na niemiłą niespodziankę.
