De kwestie van beveiliging is de laatste tijd steeds relevanter geworden in de online omgeving. Dit komt omdat zelfs relatief betrouwbare tools die wachtwoordbeheer bieden, vaak het slachtoffer worden van hackeraanvallen. In veel gevallen nemen aanvallers niet eens de moeite om hun eigen instrumenten from scratch te ontwikkelen, maar maken zij gebruik van kant-en-klare oplossingen op basis van bijvoorbeeld het MaaS-model, die in verschillende vormen kunnen worden ingezet en die tot doel hebben online monitoring en data-evaluatie. In de handen van een agressor dient het echter om apparaten te infecteren en zijn eigen kwaadaardige inhoud te verspreiden. Beveiligingsexperts zijn erin geslaagd het gebruik van een dergelijke MaaS te ontdekken, genaamd Nexus, die tot doel heeft bankgegevens te verkrijgen van apparaten waarmee Android met behulp van een Trojaans paard.
vennootschap helder omgaan met cyberveiligheid analyseerde de modus operandi van het Nexus-systeem met behulp van voorbeeldgegevens van ondergrondse forums in samenwerking met de server TechRadar. Dit botnet, dat wil zeggen een netwerk van gecompromitteerde apparaten die vervolgens worden bestuurd door een aanvaller, werd in juni vorig jaar voor het eerst geïdentificeerd en stelt zijn klanten in staat ATO-aanvallen uit te voeren, een afkorting voor Account Takeover, tegen een maandelijks bedrag van 3 dollar. Nexus infiltreert uw systeemapparaat Android zich voordoen als een legitieme app die beschikbaar kan zijn in vaak dubieuze app-winkels van derden en een niet zo vriendelijke bonus verpakken in de vorm van een Trojaans paard. Eenmaal geïnfecteerd, wordt het apparaat van het slachtoffer onderdeel van het botnet.
Photo Gallery
Nexus is een krachtige malware die inloggegevens voor verschillende applicaties kan registreren met behulp van keylogging, waarbij in feite uw toetsenbord wordt bespioneerd. Het is echter ook in staat tweefactorauthenticatiecodes te stelen die via sms worden verzonden informace van de overigens relatief veilige Google Authenticator-applicatie. Dit alles zonder uw medeweten. Malware kan sms-berichten verwijderen na het stelen van codes, deze automatisch op de achtergrond bijwerken of zelfs andere malware verspreiden. Een echte veiligheidsnachtmerrie.
Omdat de apparaten van het slachtoffer deel uitmaken van het botnet, kunnen bedreigingsactoren die het Nexus-systeem gebruiken, op afstand alle bots, de geïnfecteerde apparaten en de daaruit verkregen gegevens monitoren met behulp van een eenvoudig webpaneel. De interface maakt naar verluidt systeemaanpassing mogelijk en ondersteunt de injectie op afstand van ongeveer 450 legitiem ogende inlogpagina's van bankapplicaties om gegevens te stelen.
Mogelijk bent u hierin geïnteresseerd
Technisch gezien is Nexus een evolutie van de SOVA-banktrojan van medio 2021. Volgens Cleafy lijkt het erop dat de SOVA-broncode is gestolen door een botnetoperator Android, dat verouderde MaaS huurde. De entiteit die Nexus beheert, heeft delen van deze gestolen broncode gebruikt en vervolgens andere gevaarlijke elementen toegevoegd, zoals een ransomwaremodule die uw apparaat kan vergrendelen met behulp van AES-codering, hoewel dit momenteel niet actief lijkt te zijn.
Nexus deelt daarom commando's en controleprotocollen met zijn beruchte voorganger, inclusief het negeren van apparaten in dezelfde landen die op de SOVA-witte lijst stonden. Hardware die actief is in Azerbeidzjan, Armenië, Wit-Rusland, Kazachstan, Kirgizië, Moldavië, Rusland, Tadzjikistan, Oezbekistan, Oekraïne en Indonesië wordt dus genegeerd, zelfs als de tool is geïnstalleerd. De meeste van deze landen zijn lid van het Gemenebest van Onafhankelijke Staten, opgericht na de ineenstorting van de Sovjet-Unie.
Photo Gallery
Omdat de malware het karakter heeft van een Trojaans paard, vindt de detectie ervan mogelijk plaats op het systeemapparaat Android behoorlijk veeleisend. Een mogelijke waarschuwing is het zien van ongebruikelijke pieken in het mobiele data- en wifi-gebruik, wat er meestal op wijst dat de malware communiceert met het apparaat van de hacker of op de achtergrond wordt bijgewerkt. Een andere aanwijzing is dat de batterij abnormaal leegloopt als het apparaat niet actief wordt gebruikt. Als u een van deze problemen tegenkomt, is het een goed idee om na te denken over het maken van een back-up van uw belangrijke gegevens en het terugzetten van uw apparaat naar de fabrieksinstellingen, of om contact op te nemen met een gekwalificeerde beveiligingsprofessional.
Om uzelf te beschermen tegen gevaarlijke malware zoals Nexus, moet u apps altijd alleen downloaden van vertrouwde bronnen zoals de Google Play Store, ervoor zorgen dat u de nieuwste updates heeft geïnstalleerd en apps alleen de machtigingen verlenen die nodig zijn om ze uit te voeren. Cleafy heeft de omvang van het Nexus-botnet nog niet onthuld, maar tegenwoordig is het altijd beter om voorzichtig te zijn dan voor een nare verrassing te staan.
