A biztonság kérdése az utóbbi időben egyre aktuálisabbá vált az online környezetben. Ennek az az oka, hogy még a viszonylag megbízható jelszókezelést biztosító eszközök is gyakran esnek a hackertámadások áldozataivá. A támadók sok esetben nem is törődnek azzal, hogy a nulláról fejlesztik saját műszereiket, hanem például a MaaS-modellre épülő kész megoldásokat alkalmazzák, amelyek többféle formában is bevethetők, és amelyek célja az online megfigyelés és adatértékelés. Egy agresszor kezében azonban az eszközök megfertőzésére és saját rosszindulatú tartalom terjesztésére szolgál. Biztonsági szakértőknek sikerült felfedezniük egy ilyen Nexus nevű MaaS használatát, amely banki információkat kíván megszerezni a Android trójai faló segítségével.
Cég Cleafy a kiberbiztonsággal foglalkozó a szerverrel együttműködve földalatti fórumok mintaadatai alapján elemezte a Nexus rendszer működési módját TechRadar. Ezt a botnetet, azaz a támadó által irányított, feltört eszközök hálózatát először tavaly júniusban azonosították, és lehetővé teszi ügyfelei számára, hogy 3 USD havi díj ellenében ATO-támadásokat hajtsanak végre. A Nexus behatol a rendszereszközébe Android törvényes alkalmazásnak álcázva magát, amely a gyakran kétes, harmadik féltől származó alkalmazásboltokban elérhető lehet, és egy nem túl barátságos bónuszt csomagol be egy trójai faló formájában. A fertőzés után az áldozat eszköze a botnet részévé válik.
Photo Gallery
A Nexus egy erős rosszindulatú program, amely billentyűnaplózással rögzíti a különböző alkalmazások bejelentkezési adatait, alapvetően a billentyűzetet kémleli. Ugyanakkor képes az SMS-ben kézbesített kéttényezős hitelesítési kódok ellopására is, ill informace az egyébként viszonylag biztonságos Google Authenticator alkalmazásból. Mindezt a tudta nélkül. A rosszindulatú programok a kódok ellopása után törölhetik az SMS-eket, automatikusan frissíthetik azokat a háttérben, vagy akár más kártevőket is terjeszthetnek. Igazi biztonsági rémálom.
Mivel az áldozat eszközei a botnet részét képezik, a Nexus rendszert használó fenyegetés szereplői egy egyszerű webpanel segítségével távolról felügyelhetik az összes botot, a fertőzött eszközöket és az azokból származó adatokat. Az interfész állítólag lehetővé teszi a rendszer testreszabását, és támogatja körülbelül 450 jogszerűnek tűnő banki alkalmazás bejelentkezési oldalának távoli beillesztését adatok ellopása céljából.
Érdekelhet
Technikailag a Nexus a SOVA banki trójai fejlesztése 2021 közepétől. Cleafy szerint úgy tűnik, hogy a SOVA forráskódját egy botnet üzemeltetője lopta el. Android, amely az örökölt MaaS-t bérelte. A Nexust futtató entitás felhasználta ennek az ellopott forráskódnak egy részeit, majd további veszélyes elemeket is hozzáadott, például egy zsarolóprogram-modult, amely képes AES-titkosítással zárolni az eszközt, bár ez jelenleg nem tűnik aktívnak.
A Nexus ezért megosztja a parancsokat és a vezérlőprotokollokat hírhedt elődjével, beleértve a SOVA engedélyezési listáján szereplő országokban lévő eszközök figyelmen kívül hagyását is. Így az Azerbajdzsánban, Örményországban, Fehéroroszországban, Kazahsztánban, Kirgizisztánban, Moldovában, Oroszországban, Tádzsikisztánban, Üzbegisztánban, Ukrajnában és Indonéziában működő hardvereket akkor is figyelmen kívül hagyják, ha az eszköz telepítve van. Ezen országok többsége a Szovjetunió összeomlása után létrejött Független Államok Közösségének tagja.
Photo Gallery
Mivel a rosszindulatú program trójai faló jellegű, észlelése a rendszereszközön lehet Android elég igényes. Egy lehetséges figyelmeztetés lehet, hogy szokatlan kiugrások tapasztalhatók a mobiladat- és Wi-Fi-használatban, ami általában azt jelzi, hogy a rosszindulatú program kommunikál a hacker eszközével, vagy a háttérben frissít. Egy másik nyom az akkumulátor rendellenes lemerülése, amikor az eszközt nem használják aktívan. Ha a fenti problémák bármelyikével találkozik, érdemes elkezdenie a fontos adatok biztonsági mentését és az eszköz gyári beállításainak visszaállítását, vagy felvenni a kapcsolatot egy képzett biztonsági szakemberrel.
Annak érdekében, hogy megvédje magát az olyan veszélyes rosszindulatú programoktól, mint a Nexus, mindig csak megbízható forrásokból töltsön le alkalmazásokat, például a Google Play Áruházból, ellenőrizze, hogy telepítve van-e a legújabb frissítés, és csak a futtatáshoz szükséges engedélyeket adja meg az alkalmazásoknak. A Cleafy még nem fedte fel a Nexus botnet kiterjedését, de manapság mindig jobb az óvatosság mellett tévedni, mint csúnya meglepetésben lenni.
