安全問題最近在線上環境中變得越來越重要。這是因為,即使是相對值得信賴的提供密碼管理的工具也經常成為駭客攻擊的受害者。在許多情況下,攻擊者甚至懶得從頭開始開發自己的儀器,而是使用基於例如MaaS模型的現成解決方案,該解決方案可以以多種形式部署,其目的是在線監控和數據評估。然而,在攻擊者手中,它可以感染設備並分發自己的惡意內容。安全專家設法發現了一種名為 Nexus 的 MaaS 的用途,該工具旨在從具有以下功能的設備獲取銀行資訊: Android 使用特洛伊木馬。
公司 le 處理網路安全使用地下論壇的樣本資料與伺服器合作分析了 Nexus 系統的作案手法 TECHRADAR。該殭屍網絡,即由攻擊者控制的受感染設備組成的網絡,於去年 3 月首次被發現,允許其客戶進行 ATO 攻擊(帳戶接管的縮寫),每月費用為 000 美元。 Nexus 滲透到您的系統設備 Android 偽裝成可能在可疑的第三方應用商店中提供的合法應用程序,並以特洛伊木馬的形式提供不那麼友好的獎勵。一旦被感染,受害者的設備就會成為殭屍網路的一部分。
Nexus 是一種功能強大的惡意軟體,可使用鍵盤記錄記錄各種應用程式的登入憑證,基本上就是監視您的鍵盤。然而,它也能夠竊取透過簡訊和 informace 來自其他相對安全的 Google Authenticator 應用程式。這一切都是在你不知情的情況下發生的。惡意軟體可以在竊取程式碼後刪除短信,在後台自動更新它們,甚至傳播其他惡意軟體。真正的安全噩夢。
由於受害者的裝置是殭屍網路的一部分,因此使用 Nexus 系統的威脅參與者可以使用簡單的 Web 面板遠端監控所有殭屍程式、受感染的裝置以及從它們獲取的資料。據報道,該介面允許系統定制,並支援遠端注入大約 450 個看似合法的銀行應用程式登錄頁面以竊取資料。
您可能感興趣
從技術上講,Nexus 是 2021 年中期 SOVA 銀行木馬的演變。根據 Cleafy 的說法,SOVA 原始碼似乎被殭屍網路營運商竊取 Android,該公司租賃了遺留的 MaaS。運行 Nexus 的實體使用了部分被盜原始程式碼,然後添加了其他危險元素,例如能夠使用 AES 加密鎖定您的裝置的勒索軟體模組,儘管該模組目前似乎並未處於活動狀態。
因此,Nexus 與其臭名昭著的前身共享命令和控制協議,包括忽略位於 SOVA 白名單上的同一國家/地區的設備。因此,即使安裝了該工具,在亞塞拜然、亞美尼亞、白俄羅斯、哈薩克、吉爾吉斯、摩爾多瓦、俄羅斯、塔吉克、烏茲別克、烏克蘭和印尼運行的硬體也會被忽略。這些國家大多是蘇聯解體後建立的獨立國家聯合體的成員。
由於該惡意軟體具有特洛伊木馬的性質,因此其檢測可能是在系統裝置上 Android 要求相當高。可能的警告可能是行動數據和 Wi-Fi 使用量出現異常峰值,這通常表示惡意軟體正在與駭客的裝置通訊或在後台進行更新。另一個線索是當設備未經常使用時電池電量異常消耗。如果您遇到任何這些問題,最好開始考慮備份重要資料並將裝置重設為原廠設定或聯絡合格的安全專業人員。
為了保護自己免受 Nexus 等危險惡意軟體的侵害,請始終僅從 Google Play 商店等受信任來源下載應用程序,確保安裝了最新更新,並且僅授予應用程式運行它們所需的權限。 Cleafy 尚未透露 Nexus 殭屍網路的範圍,但如今,謹慎行事總是比遭遇令人討厭的意外要好。
