450 finansinių aplikacijų, skirtų „Android“ sistemos telefonams, tapo „Nexus“ viruso taikiniu
Italijos kibernetinio saugumo bendrovės „Cleafy“ paskelbtoje ataskaitoje teigiama, kad keletas grėsmių sukėlėjų jau pradėjo naudoti „Android“ bankinį Trojos arklį, žinomą kaip „Nexus“, siekdami atakuoti 450 finansinių programų ir vykdyti sukčiavimo veiklą[1].
Telefonams skirtas kibernetinis virusas yra Trojos arklio kategorijai priklausantis kenkėjas. Jis yra vis dar yra ankstyvoje kūrimo stadijoje ir siūlo visas reikiamas funkcijas, kad būtų galima vykdyti paskyros perėmimo (ATO) atakas prieš bankų portalus ir kriptovaliutų paslaugas, įskaitant įgaliojimų vagystę ir SMS žinučių turinio perėmimą.
Šių metų pradžioje „Nexus“ virusas pirmą kartą buvo reklamuojamas įvairiuose įsilaužėlių forumuose kaip prenumeratos paslauga, už kurią klientai kas mėnesį moka 3 000 JAV dolerių. Nors kenkėjiškos programos detales šį mėnesį užfiksavo ekspertai, yra požymių, kad šis Trojos arklys galėjo būti naudojamas realiose atakose dar 2022 m. birželį, t. y. bent šešis mėnesius prieš oficialų jo paskelbimą tamsiojo interneto ir hakerių portaluose.
„Android“ trojano autoriai suteikė galimybę naudotis kenkėjiška programine įranga kitiems grėsmių dalyviams per neseniai paskelbtą kenkėjiškos programinės įrangos kaip paslaugos (malware-as-a-service, MaaS) programą[2], pagal kurią asmenys ir grupės gali išsinuomoti arba užsisakyti kenkėjišką programinę įrangą ir naudoti ją savo atakose. Todėl pilnas atakų dydis ir viruso išplitimas nėra žinomas.
Nežinia, kas yra viruso kūrėjai, bet žinomos taisyklės, kurios draudžia platinti šį „Nexus“ virusą Azerbaidžane, Armėnijoje, Baltarusijoje, Kazakstane, Ukrainoje, Uzbekistane, Moldovoje, Rusijoje, Indonezijoje. Nėra aiškaus taikinio, tad nusikaltėliai gali taikytis į vakarų valstybes ir kitas Europos šalis be konkretaus politinio pagrindo.
Kenkėjiška veikla maskuojama po suklastotomis programėlėmis
Italijos kibernetinio saugumo įmonės tyrėjai pirmą kartą šį trojaną pastebėjo praėjusių metų birželį, tačiau tuo metu įvertino, kad tai yra sparčiai besivystantis kito bankinių programėlių viruso variantas. Kenkėjiškoje programoje buvo kelios kito viruso kodo dalys, o jos galimybės tuo metu buvo nukreiptos į daugiau nei 200 mobiliosios bankininkystės, kriptovaliutų ir kitas finansines programėles[3].
Tyrėjai vėliau pastebėjo tai, kas, jų manymu, buvo žinomo viruso variantas, paslėptas suklastotose programėlėse su logotipais, rodančiais, kad jos yra patikimos programėlės, tokios kaip „Amazon“ ar „Google“, NFT platformos, naršyklės.
Tačiau sausio mėnesį ekspertai pastebėjo, kad kenkėjiška programinė įranga dabar jau dar labiau patobulinta. Virusas pasirodė keliuose įsilaužėlių forumuose pavadinimu „Nexus“ ir tyrėjai sujungė faktus. Netrukus po to kenkėjiškų programų autoriai pradėjo teikti šią kenkėjišką programinę įrangą kitiems grėsmių sukėlėjams per savo naująją „MaaS“ programą už santykinai nedidelę 3 000 JAV dolerių per mėnesį kainą.
Neaišku, kaip grėsmių kūrėjai pateikia „Nexus“ virusą „Android“ įrenginiuose. Nebuvo gauta prieiga prie konkrečios informacijos apie pirminį užkrėtimo virusu vektorių, nes tyrimai daugiausia buvo skirti jo elgsenos ir galimybių analizei. Tačiau įprasta, kad bankiniai Trojos arkliai pristatomi per socialinės inžinerijos schemas, pavyzdžiui, sukčiavimą SMS žinutėmis arma smishing[4].
Kelios bankinių programėlių paskyrų perėmimo funkcijos
Kibernetinio saugumo ekspertų atlikta šio „Android“ sistemos viruso „Nexus“ analizė parodė, kad kenkėjiškoje programoje yra kelios funkcijos, leidžiančios perimti vartotojo paskyrą. Tarp jų yra funkcija, skirta perdangos atakoms vykdyti ir klavišų paspaudimams registruoti, kad būtų galima pavogti naudotojo prisijungimo duomenis.
Nusikaltėliai tokiu būdu gali pasiekti savo tikslus, kai tikslinės bankininkystės ar kriptovaliutų programėlės klientas bando prisijungti prie savo paskyros. Asmuo, naudodamas užkrėstą mobilų įrenginį, pateikia užklausą, o virusas tokiu metu pateikia puslapį, kuris atrodo ir veikia lygiai taip pat kaip tikrosios programėlės prisijungimo puslapis.
Tada kenkėjiška programa naudoja klaviatūros registravimo funkciją, kad perimtų aukos prisijungimo puslapyje įvestus prisijungimo duomenis. Kaip ir daugelis į bankų aplikacijas taikančių virusų, „Nexus“ gali perimti SMS žinutes, kad gautų dviejų veiksnių autentifikavimo kodus, skirtus prisijungti prie internetinių paskyrų.
Kenkėjas gali pasinaudoti ir prieinamumo paslaugų funkcija, kad pavogtų pardavimo ir balanso informaciją iš kriptovaliutų piniginių, slapukus iš dominančių svetainių ir dviejų saugumo veiksnių kodus. Be to, atrodo, kad kenkėjiškos programos autoriai papildė „Nexus“ naujomis funkcijomis, kurių nebuvo versijoje, kurią tyrėjai pastebėjo praėjusiais metais.
Viena iš jų yra funkcija, tyliai ištrinanti gautus SMS dviejų veiksnių autentifikavimo pranešimus, o kita funkcija, skirta sustabdyti arba įjungti 2FA kodų vagystės modulį. Naujausias viruso variantas taip pat turi funkciją, skirtą periodiškai tikrinti, ar jo komandų ir valdymo serveryje (C2) nėra atnaujinimų, ir automatiškai įdiegti visus, kurie gali būti prieinami.
Modulis, kuris, atrodo, vis dar kuriamas, leidžia manyti, kad autoriai kenkėjiškoje programoje gali įdiegti šifravimo funkciją, greičiausiai tam, kad užmaskuotų savo pėdsakus po paskyros perėmimo. Nepaisant to, kad kenkėjiška programa atlieka daugybę funkcijų, skirtų internetinėms finansinėms sąskaitoms perimti, tyrėjai įvertino, kad „Nexus“ vis dar yra nebaigtas nusikaltėlių darbas.
Vienas iš požymių, pasak saugumo tyrėjų, yra tai, kad tam tikruose kenkėjiškos programos moduliuose yra derinimo eilučių ir nėra naudojimo nuorodų. Kitas požymis – palyginti didelis registracijos pranešimų skaičius kode, kuris rodo, kad autoriai vis dar stebi ir teikia ataskaitas apie visus kenkėjiškos programos atliekamus veiksmus.
