イタリアのサイバーセキュリティ会社 Clafy は、オンライン アカウントを乗っ取って資金を引き出すことができる Nexus Android トロイの木馬を発見しました。 Nexus は、世界中の 450 の銀行と暗号通貨サービスの顧客をターゲットにしていることがわかっています。
これは、SOVA と呼ばれる別の Android バンキング型トロイの木馬の亜種として、2022 年 6 月に初めて確認されました。 それ以来、Nexus はターゲティング機能を改善し、サービスとしてのマルウェア プログラムを介して月額 3000 ドルで利用できます。 このマルウェアは、他の攻撃者が個人攻撃のためにレンタルまたは購読することを可能にします。
によると Clafyによるレポート、複数のキャンペーンが世界中で活発に行われており、複数の脅威アクターがすでにこのスレッドを使用して不正なキャンペーンを行っていることが確認されています. Nexus は、アカウントの乗っ取りにいくつかの手法を採用しています。 ユーザー資格情報を盗むためのオーバーレイ攻撃とキーストロークのログ記録.
標的型の銀行アプリや暗号通貨アプリの顧客が侵害された Android デバイスを使用すると、Nexus は本物のアプリのログイン ページになりすましたページにユーザーをリダイレクトし、 埋め込みキーロガー.
Nexus Android トロイの木馬はどのように機能しますか?
多くのバンキング型トロイの木馬と同様に、Nexus Android トロイの木馬は、SMS から 2 要素認証コードを傍受することでオンライン アカウントにアクセスできます。 トロイの木馬も窃盗を行っていることが判明 暗号通貨ウォレットからのシードと残高情報、ターゲット Web サイトからの Cookie、および Android の「アクセシビリティ サービス」機能を使用した Google の認証アプリの 2 要素コード。
Cleafy は、Nexus Android トロイの木馬が、受信した認証 SMS メッセージの削除、モジュールの停止またはアクティブ化などの新しい機能を開発していることを発見しました。 Google Authenticator 2FA コードを盗む、独自のコマンド アンド コントロール サーバーの更新プログラムを定期的にチェックし、利用可能になる可能性のあるものを自動的にインストールします。
アカウントの乗っ取りとグローバルなリーチの多用途性にもかかわらず、Cleafy は Nexus Android トロイの木馬をまだ「進行中」であると指定しています。 これは主に、デバッグ文字列の存在と、マルウェアの特定のモジュールでの使用法の参照の欠如によるものです。
コード内の比較的多数のログ メッセージは、マルウェア アクションの追跡と報告が不十分であることを示唆しています。 さらに、このマルウェアの現在のバージョンは、Nexus に感染したデバイスを完全にリモート コントロールで乗っ取るための Virtual Network Computing (VNC) モジュールを備えていません。 の VNC モジュールにより、攻撃者はオンデバイス詐欺を実行できますこれは、被害者が毎日使用しているのと同じデバイスから送金が開始されるため、最も危険な種類の詐欺の 1 つです。
Clafy によって観察されたように、まだ開発中のモジュールには、アカウントの完全な乗っ取り後の難読化を主な目的とした暗号化機能が備わっているようです。
全体として、Nexus Android トロイの木馬は危険なトロイの木馬であり、すでに複数の詐欺キャンペーンで使用されています。 マルウェアはまだ開発中ですが、アカウントの乗っ取りとグローバルなリーチの可能性をすでに示しており、モバイル バンキングや仮想通貨のユーザーにとって深刻な脅威となっています。
今日、特にデジタル通貨の普及が進んでいるため、このようなウイルスやトロイの木馬から身を守ることは非常に重要です。 最近、人気のある YouTube チャンネルである Linus Tech Tips がハッキングされ、ハッカーはイーロン マスクの写真を使用して、ある種の仮想通貨詐欺を試みました。
