Το θέμα της ασφάλειας έχει γίνει πρόσφατα όλο και πιο επίκαιρο στο διαδικτυακό περιβάλλον. Αυτό συμβαίνει επειδή ακόμη και σχετικά αξιόπιστα εργαλεία που παρέχουν διαχείριση κωδικών πρόσβασης συχνά πέφτουν θύματα επιθέσεων χάκερ. Σε πολλές περιπτώσεις, οι εισβολείς δεν μπαίνουν καν στον κόπο να αναπτύξουν τα δικά τους όργανα από την αρχή, αλλά χρησιμοποιούν έτοιμες λύσεις που βασίζονται, για παράδειγμα, στο μοντέλο MaaS, το οποίο μπορεί να αναπτυχθεί με διάφορες μορφές και σκοπός του οποίου είναι η ηλεκτρονική παρακολούθηση και αξιολόγηση δεδομένων. Ωστόσο, στα χέρια ενός επιτιθέμενου, χρησιμεύει για να μολύνει συσκευές και να διανέμει το δικό του κακόβουλο περιεχόμενο. Οι ειδικοί σε θέματα ασφάλειας κατάφεραν να ανακαλύψουν τη χρήση ενός τέτοιου MaaS που ονομάζεται Nexus, το οποίο στοχεύει στη λήψη τραπεζικών πληροφοριών από συσκευές με Android χρησιμοποιώντας έναν δούρειο ίππο.
Εταιρεία Καθαρό που ασχολείται με την ασφάλεια στον κυβερνοχώρο ανέλυσε τον τρόπο λειτουργίας του συστήματος Nexus χρησιμοποιώντας δείγματα δεδομένων από υπόγεια φόρουμ σε συνεργασία με τον διακομιστή TechRadar. Αυτό το botnet, δηλαδή ένα δίκτυο παραβιασμένων συσκευών που στη συνέχεια ελέγχονται από έναν εισβολέα, εντοπίστηκε για πρώτη φορά τον Ιούνιο του περασμένου έτους και επιτρέπει στους πελάτες του να πραγματοποιούν επιθέσεις ATO, συντομογραφία του Account Takeover, έναντι μηνιαίας χρέωσης 3 $ ΗΠΑ. Το Nexus διεισδύει στη συσκευή του συστήματός σας Android μεταμφιεσμένος σε μια νόμιμη εφαρμογή που μπορεί να είναι διαθέσιμη σε συχνά αμφίβολα καταστήματα εφαρμογών τρίτων και πακετάροντας ένα όχι και τόσο φιλικό μπόνους με τη μορφή δούρειου ίππου. Μόλις μολυνθεί, η συσκευή του θύματος γίνεται μέρος του botnet.
Fotogalerie
Το Nexus είναι ένα ισχυρό κακόβουλο λογισμικό που μπορεί να καταγράφει τα διαπιστευτήρια σύνδεσης σε διάφορες εφαρμογές χρησιμοποιώντας καταγραφή πληκτρολογίου, βασικά κατασκοπεύοντας το πληκτρολόγιό σας. Ωστόσο, είναι επίσης σε θέση να κλέψει κωδικούς ελέγχου ταυτότητας δύο παραγόντων που παραδίδονται μέσω SMS και informace από την κατά τα άλλα σχετικά ασφαλή εφαρμογή Google Authenticator. Όλα αυτά εν αγνοία σας. Το κακόβουλο λογισμικό μπορεί να διαγράψει μηνύματα SMS μετά την κλοπή κωδικών, να τα ενημερώσει αυτόματα στο παρασκήνιο ή ακόμα και να διανείμει άλλο κακόβουλο λογισμικό. Ένας πραγματικός εφιάλτης ασφαλείας.
Δεδομένου ότι οι συσκευές του θύματος αποτελούν μέρος του botnet, οι φορείς απειλών που χρησιμοποιούν το σύστημα Nexus μπορούν να παρακολουθούν εξ αποστάσεως όλα τα bot, τις μολυσμένες συσκευές και τα δεδομένα που λαμβάνονται από αυτά, χρησιμοποιώντας ένα απλό web panel. Η διεπαφή φέρεται να επιτρέπει την προσαρμογή του συστήματος και υποστηρίζει την απομακρυσμένη έγχυση περίπου 450 σελίδων σύνδεσης τραπεζικών εφαρμογών με νόμιμη εμφάνιση για την κλοπή δεδομένων.
Μπορεί να σας ενδιαφέρει
Τεχνικά, το Nexus είναι μια εξέλιξη του τραπεζικού trojan SOVA από τα μέσα του 2021. Σύμφωνα με τον Cleafy, φαίνεται ότι ο πηγαίος κώδικας SOVA κλάπηκε από έναν χειριστή botnet Android, η οποία μίσθωσε την παλαιού τύπου MaaS. Η οντότητα που εκτελεί το Nexus χρησιμοποίησε τμήματα αυτού του κλεμμένου πηγαίου κώδικα και στη συνέχεια πρόσθεσε άλλα επικίνδυνα στοιχεία, όπως μια μονάδα ransomware που μπορεί να κλειδώσει τη συσκευή σας χρησιμοποιώντας κρυπτογράφηση AES, αν και αυτή τη στιγμή δεν φαίνεται να είναι ενεργή.
Επομένως, το Nexus μοιράζεται πρωτόκολλα εντολών και ελέγχου με τον διαβόητο προκάτοχό του, συμπεριλαμβανομένης της παράβλεψης συσκευών στις ίδιες χώρες που ήταν στη λίστα επιτρεπόμενων SOVA. Έτσι, το υλικό που λειτουργεί στο Αζερμπαϊτζάν, την Αρμενία, τη Λευκορωσία, το Καζακστάν, το Κιργιστάν, τη Μολδαβία, τη Ρωσία, το Τατζικιστάν, το Ουζμπεκιστάν, την Ουκρανία και την Ινδονησία αγνοείται ακόμη και αν το εργαλείο είναι εγκατεστημένο. Οι περισσότερες από αυτές τις χώρες είναι μέλη της Κοινοπολιτείας Ανεξάρτητων Κρατών που ιδρύθηκε μετά την κατάρρευση της Σοβιετικής Ένωσης.
Fotogalerie
Δεδομένου ότι το κακόβουλο λογισμικό έχει τη φύση του δούρειου ίππου, ο εντοπισμός του μπορεί να είναι στη συσκευή του συστήματος Android αρκετά απαιτητικό. Μια πιθανή προειδοποίηση μπορεί να είναι η εμφάνιση ασυνήθιστων αυξήσεων στα δεδομένα κινητής τηλεφωνίας και στη χρήση Wi-Fi, που συνήθως υποδηλώνουν ότι το κακόβουλο λογισμικό επικοινωνεί με τη συσκευή του χάκερ ή ενημερώνεται στο παρασκήνιο. Μια άλλη ένδειξη είναι η μη φυσιολογική αποστράγγιση της μπαταρίας όταν η συσκευή δεν χρησιμοποιείται ενεργά. Εάν αντιμετωπίσετε οποιοδήποτε από αυτά τα ζητήματα, είναι καλή ιδέα να αρχίσετε να σκέφτεστε να δημιουργήσετε αντίγραφα ασφαλείας των σημαντικών δεδομένων σας και να επαναφέρετε τη συσκευή σας στις εργοστασιακές ρυθμίσεις ή να επικοινωνήσετε με έναν εξειδικευμένο επαγγελματία ασφαλείας.
Για να προστατευτείτε από επικίνδυνο κακόβουλο λογισμικό όπως το Nexus, πραγματοποιείτε πάντα λήψη εφαρμογών μόνο από αξιόπιστες πηγές όπως το Google Play Store, βεβαιωθείτε ότι έχετε εγκαταστήσει τις πιο πρόσφατες ενημερώσεις και παραχωρήστε μόνο στις εφαρμογές τα απαραίτητα δικαιώματα για την εκτέλεση τους. Ο Cleafy δεν έχει ακόμη αποκαλύψει την έκταση του botnet του Nexus, αλλά αυτές τις μέρες είναι πάντα καλύτερο να είστε προσεκτικοί παρά να αντιμετωπίζετε μια δυσάρεστη έκπληξη.
