安全问题最近在在线环境中变得越来越重要。这是因为,即使是相对值得信赖的提供密码管理的工具也经常成为黑客攻击的受害者。在许多情况下,攻击者甚至懒得从头开始开发自己的仪器,而是使用基于例如MaaS模型的现成解决方案,该解决方案可以以多种形式部署,其目的是在线监控和数据评估。然而,在攻击者手中,它可以感染设备并分发自己的恶意内容。安全专家设法发现了一种名为 Nexus 的 MaaS 的用途,该工具旨在从具有以下功能的设备获取银行信息: Android 使用特洛伊木马。
律师事务所 le 处理网络安全使用来自地下论坛的样本数据与服务器合作分析了 Nexus 系统的作案手法 TechRadar。该僵尸网络,即由攻击者控制的受感染设备组成的网络,于去年 3 月首次被发现,允许其客户进行 ATO 攻击(帐户接管的缩写),每月费用为 000 美元。 Nexus 渗透到您的系统设备 Android 伪装成可能在可疑的第三方应用商店中提供的合法应用程序,并以特洛伊木马的形式提供不那么友好的奖励。一旦被感染,受害者的设备就会成为僵尸网络的一部分。
Nexus 是一种功能强大的恶意软件,可以使用键盘记录记录各种应用程序的登录凭据,基本上是监视您的键盘。然而,它也能够窃取通过短信和 informace 来自其他相对安全的 Google Authenticator 应用程序。这一切都是在你不知情的情况下发生的。恶意软件可以在窃取代码后删除短信,在后台自动更新它们,甚至传播其他恶意软件。真正的安全噩梦。
由于受害者的设备是僵尸网络的一部分,因此使用 Nexus 系统的威胁参与者可以使用简单的 Web 面板远程监控所有僵尸程序、受感染的设备以及从它们获取的数据。据报道,该界面允许系统定制,并支持远程注入大约 450 个看似合法的银行应用程序登录页面以窃取数据。
您可能感兴趣
从技术上讲,Nexus 是 2021 年中期 SOVA 银行木马的演变。根据 Cleafy 的说法,SOVA 源代码似乎被僵尸网络运营商窃取 Android,该公司租赁了遗留的 MaaS。运行 Nexus 的实体使用了部分被盗源代码,然后添加了其他危险元素,例如能够使用 AES 加密锁定您的设备的勒索软件模块,尽管该模块当前似乎并未处于活动状态。
因此,Nexus 与其臭名昭著的前身共享命令和控制协议,包括忽略位于 SOVA 白名单上的同一国家/地区的设备。因此,即使安装了该工具,在阿塞拜疆、亚美尼亚、白俄罗斯、哈萨克斯坦、吉尔吉斯斯坦、摩尔多瓦、俄罗斯、塔吉克斯坦、乌兹别克斯坦、乌克兰和印度尼西亚运行的硬件也会被忽略。这些国家大多数是苏联解体后建立的独立国家联合体的成员。
由于该恶意软件具有特洛伊木马的性质,因此其检测可能是在系统设备上 Android 要求相当高。可能的警告可能是移动数据和 Wi-Fi 使用量出现异常峰值,这通常表明恶意软件正在与黑客的设备进行通信或在后台进行更新。另一个线索是当设备未经常使用时电池电量异常消耗。如果您遇到任何这些问题,最好开始考虑备份重要数据并将设备重置为出厂设置或联系合格的安全专业人员。
为了保护自己免受 Nexus 等危险恶意软件的侵害,请始终从 Google Play 商店等受信任来源下载应用程序,确保安装了最新更新,并且仅授予应用程序运行它们所需的权限。 Cleafy 尚未透露 Nexus 僵尸网络的范围,但现在安全总比后悔好。
