Το να παραμένετε ασφαλείς στο διαδίκτυο μοιάζει να γίνεται όλο και πιο δύσκολο μέρα με τη μέρα, καθώς ακόμη και αξιόπιστοι διαχειριστές κωδικών πρόσβασης πέφτουν θύματα χάκερ. Οι κακοί παράγοντες που δεν μπορούν να ασχοληθούν με την ανάπτυξη των δικών τους βοηθητικών προγραμμάτων από το μηδέν μπορούν ακόμη και να χρησιμοποιήσουν λύσεις με το κλειδί στο χέρι, όπως το MaaS (malware as a service), για να μολύνουν συσκευές και να διανείμουν ένα προσαρμοσμένο, κακόβουλο payload. Ερευνητές ασφαλείας ανακάλυψαν την αναβίωση ενός τέτοιου MaaS που ονομάζεται Nexus, το οποίο έχει σχεδιαστεί για να καταγράφει τραπεζικές πληροφορίες από συσκευή Android χρησιμοποιώντας ένα trojan.
Η εταιρεία κυβερνοασφάλειας Cleafy ανέλυσε τον τρόπο λειτουργίας του Nexus χρησιμοποιώντας δείγματα δεδομένων από underground φόρουμ. Αυτό το botnet εντοπίστηκε για πρώτη φορά τον περασμένο Ιούνιο και επιτρέπει στους πελάτες του να εκτελούν επιθέσεις κατάληψης λογαριασμού (ATO) έναντι μηνιαίας αμοιβής 3.000 δολαρίων. Το Nexus εισβάλλει στη συσκευή Android μεταμφιεσμένο ως νόμιμη εφαρμογή που συσκευάζει ένα κακόβουλο trojan σε σκιώδη third-party καταστήματα εφαρμογών Android. Μόλις μολυνθεί, η συσκευή του θύματος γίνεται μέρος του botnet που ελέγχει ο χάκερ.
Το Nexus είναι ένα ισχυρό κακόβουλο λογισμικό, ικανό για keylogging, ώστε να καταγράφει τα στοιχεία σύνδεσής σε διάφορες εφαρμογές. Μπορεί επίσης να υποκλέψει κωδικούς και πληροφορίες που αποστέλλονται μέσω SMS για τον έλεγχο ταυτότητας δύο παραγόντων (2FA) από τη συγκριτικά ασφαλή εφαρμογή Google Authenticator, και όλα αυτά εν αγνοία του χρήστη. Το κακόβουλο λογισμικό μπορεί να διαγράψει τα SMS 2FA μετά την κλοπή των κωδικών, να κάνει αυτόματη ενημέρωση στο παρασκήνιο και να διανείμει πρόσθετο κακόβουλο λογισμικό.
Δεδομένου ότι οι συσκευές των θυμάτων αποτελούν μέρος του botnet, οι απειλητικοί φορείς που χρησιμοποιούν το Nexus μπορούν να χρησιμοποιούν ένα απλό web panel για να παρακολουθούν όλα τα bots, aka μολυσμένες συσκευές, από απόσταση και τα δεδομένα που συλλέγονται από αυτά. Η διεπαφή φέρεται να επιτρέπει την προσαρμογή του Nexus και υποστηρίζει την απομακρυσμένη έγχυση περίπου 450 νόμιμων σελίδων σύνδεσης τραπεζικών εφαρμογών που μοιάζουν με νόμιμες για την κλοπή διαπιστευτηρίων.
Τεχνικά, το Nexus αποτελεί εξέλιξη του τραπεζικού trojan SOVA από τα μέσα του 2021. Παρόλο που η Cleafy λέει ότι το πρώτο φαίνεται να βρίσκεται ακόμα σε beta ανάπτυξη, ο πηγαίος κώδικας του SOVA κλάπηκε από έναν χειριστή του Android botnet, ο οποίος νοίκιασε το δημοφιλές, παλαιότερο MaaS. Η οντότητα που λειτουργεί το Nexus έχει χρησιμοποιήσει κομμάτια αυτού του κλεμμένου πηγαίου κώδικα και στη συνέχεια πρόσθεσε επικίνδυνα στοιχεία, όπως μια ενότητα ransomware ικανή να κλειδώσει τον χρήστη έξω από τη συσκευή με κρυπτογράφηση AES – αν και αυτό το κομμάτι φαίνεται να είναι ανενεργό προς το παρόν.
Ως αποτέλεσμα, το Nexus μοιράζεται εντολές και πρωτόκολλα ελέγχου με τον διαβόητο προκάτοχό του, συμπεριλαμβανομένης της αγνόησης συσκευών στις ίδιες χώρες που περιλαμβάνονται στη λευκή λίστα με τη SOVA – το υλικό που λειτουργεί στο Αζερμπαϊτζάν, την Αρμενία, τη Λευκορωσία, το Καζακστάν, το Κιργιστάν, τη Μολδαβία, τη Ρωσία, το Τατζικιστάν, το Ουζμπεκιστάν, την Ουκρανία και την Ινδονησία αγνοείται, ακόμη και αν το trojan είναι εγκατεστημένο. Μπορεί να παρατηρήσετε ότι οι περισσότερες από αυτές τις χώρες είναι μέλη της Κοινοπολιτείας Ανεξάρτητων Κρατών (CIS).
Λόγω της trojan-like φύσης του κακόβουλου λογισμικού, ο εντοπισμός του σε μια συσκευή Android μπορεί να είναι δύσκολος. Πιθανό προειδοποιητικό σημάδι θα μπορούσαν να είναι οι αφύσικα αυξημένη χρήση δεδομένων κινητής τηλεφωνίας και Wi-Fi, κάτι που σημαίνει συχνά καθώς το κακόβουλο λογισμικό επικοινωνεί με τη συσκευή του χάκερ ή ενημερώνεται στο παρασκήνιο. Άλλο σημάδι θα μπορούσε να είναι η μη φυσιολογική κατανάλωση μπαταρίας όταν η συσκευή δεν χρησιμοποιείται ενεργά εξαιτίας της έντονης δραστηριότητας του κακόβουλου λογισμικού στο παρασκήνιο. Εάν ανακαλύψετε κάποιο από αυτά τα προβλήματα, σας προτείνουμε να επαναφέρετε τη συσκευή σας στις εργοστασιακές ρυθμίσεις, αφού δημιουργήσετε αντίγραφα ασφαλείας σημαντικών αρχείων, ή να επικοινωνήσετε με έναν εξειδικευμένο εμπειρογνώμονα κυβερνοασφάλειας.
Η Cleafy δεν έχει αποκαλύψει πόσο διαδεδομένο είναι το Android botnet trojan Nexus, αλλά στην εποχή μας, ποτέ δεν μπορείς να είσαι βέβαιος ότι προσέχεις αρκετά. Για να αποφύγετε μολύνσεις από επικίνδυνα κακόβουλα προγράμματα όπως το Nexus, κατεβάζετε πάντα εφαρμογές από αξιόπιστες πηγές όπως το Google Play Store. Βεβαιωθείτε επίσης ότι εκτελείτε την τελευταία διαθέσιμη ενημερωμένη έκδοση ασφαλείας του Android και ότι χορηγείτε σε εφαρμογές μόνο δικαιώματα που είναι απαραίτητα για τη λειτουργία τους – για παράδειγμα, μια εφαρμογή συλλογής εικόνων δεν χρειάζεται πρόσβαση στα αρχεία καταγραφής κλήσεων.
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.
