بدافزار اندروید Nexus 450 برنامه مالی را هدف قرار می دهد

زمان مطالعه: 5 دقیقه

با مجله هشت پیک با خبر اختصاصی در مورد یک بد افزار همراه ما باشید . بدافزار Nexus 450 برنامه مالی را هدف قرار می دهد

یاد بگیرید چگونه از سازمان و کاربران خود در برابر این تروجان بانکی اندروید محافظت کنید.

 

تشخیص بدافزار ویروس، هک سیستم، حمله سایبری، مفهوم بدافزار. رندر سه بعدی

بدافزار Nexus یک تروجان بانکی اندرویدی است که از طریق یک مدل بدافزار به عنوان سرویس تبلیغ می‌شود. همانطور که در تحقیقات جدید Cleafy، ارائه‌دهنده راهکارهای امنیت سایبری مستقر در ایتالیا، گزارش شده است، این بدافزار از ژانویه 2023 در چندین انجمن زیرزمینی جرایم سایبری تبلیغ شده است.

در یک آگهی انجمن جرایم سایبری زیرزمینی، پروژه بدافزار به عنوان “بسیار جدید” و “در حال توسعه مداوم” توصیف شده است. پیام‌های بیشتر از نویسنده Nexus در یک رشته انجمن نشان می‌دهد که کد بدافزار از ابتدا ایجاد شده است. نکته جالب: نویسندگان استفاده از بدافزار را در روسیه و کشورهای مشترک المنافع ممنوع کرده اند.

پرش به:

تأثیر بالقوه بدافزار Nexus Android

تعداد سرورهای کنترل Nexus در حال افزایش است و تهدید در حال افزایش است. طبق گفته‌های Cleafy Labs، در سال 2023 بیش از 16 سرور برای کنترل Nexus یافت شد که احتمالاً توسط چندین شرکت وابسته به برنامه MaaS استفاده می‌شد.

همانطور که توسط محققان Cleafy بیان شده است، “عدم وجود یک ماژول VNC محدوده عمل و قابلیت های آن را محدود می کند. با این حال، با توجه به میزان آلودگی بازیابی شده از چندین پنل C2، Nexus یک تهدید واقعی است که قادر است صدها دستگاه را در سراسر جهان آلوده کند.

Nexus به قیمت 3000 دلار در ماه از طریق اشتراک MaaS فروخته می شود، که آن را به فرصتی جالب برای مجرمان سایبری تبدیل می کند که تخصص توسعه بدافزار یا رمزگذاری آن را ندارند تا راه حل های آنتی ویروس را دور بزند.

تجزیه و تحلیل فنی بدافزار Nexus Android

بدافزار Nexus بر روی سیستم‌عامل‌های اندروید اجرا می‌شود و دارای چندین عملکرد مورد علاقه مجرمان سایبری است.

حملات تصاحب حساب را می توان با استفاده از بدافزار Nexus انجام داد. Nexus یک لیست جامع از 450 صفحه ورود به برنامه مالی برای گرفتن اعتبار کاربران دارد. همچنین می تواند حملات همپوشانی و فعالیت های کاربران keylog را انجام دهد.

حملات Overlay در تروجان های موبایل بانکی بسیار محبوب هستند. آنها شامل قرار دادن یک پنجره در بالای یک برنامه قانونی برای درخواست اعتبار از کاربر است تا بتوان آنها را به سرقت برد. حملات همپوشانی همچنین می‌توانند کوکی‌ها را از سایت‌های خاص بدزدند، معمولاً برای سوء استفاده از کوکی‌های جلسه. علاوه بر این، بدافزار اندروید Nexus می تواند اطلاعات را از کیف پول های رمزنگاری شده سرقت کند.

شاید این مقاله را هم دوست داشته باشید :  5 اپلیکیشن اندرویدی که این هفته نباید از دست بدهید

ببینید: خط مشی امنیتی دستگاه تلفن همراه (TechRepublic Premium)

این بدافزار دارای قابلیت رهگیری پیامک است که می‌تواند برای دور زدن احراز هویت دو مرحله‌ای و گرفتن کدهای امنیتی که به تلفن همراه قربانی ارسال می‌شوند، استفاده شود. Nexus همچنین می‌تواند کدهای 2FA را برای برنامه Google Authenticator بگیرد.

با مقایسه کد دو باینری مختلف Nexus از سپتامبر 2022 و مارس 2023، محققان Cleafy دریافتند که توسعه‌دهنده بدافزار همچنان فعالانه روی آن کار می‌کند. ویژگی‌های جدیدی ظاهر شده است، مانند امکان حذف پیامک دریافتی در تلفن همراه قربانی یا فعال/غیرفعال کردن قابلیت‌های سرقت 2FA از بدافزار.

بدافزار Nexus مرتباً خود را با بررسی سرور C2 برای آخرین شماره نسخه به‌روزرسانی می‌کند. اگر مقدار دریافتی با مقدار فعلی مطابقت نداشته باشد، بدافزار به طور خودکار به روز رسانی خود را راه اندازی می کند.

Cleafy Labs نشان داد که قابلیت‌های رمزگذاری در نمونه‌های مختلف Nexus یافت شده است، اما به نظر می‌رسد این قابلیت‌ها هنوز در حال توسعه هستند و هنوز استفاده نشده‌اند. در حالی که این کد ممکن است بخشی از تلاش برای تولید کد باج‌افزار باشد، محققان تخمین زدند که ممکن است ناشی از فعالیت‌های بد برش و چسباندن در بسیاری از بخش‌های کد باشد. همچنین ممکن است در حال توسعه برای یک قابلیت مخرب برای بی استفاده کردن سیستم عامل پس از استفاده از آن برای فعالیت های مجرمانه باشد.

همانطور که توسط Cleafy Labs بیان شده است، «فکر کردن در مورد روش عملیاتی باج افزار در دستگاه های تلفن همراه سخت است، زیرا بیشتر اطلاعات ذخیره شده با سرویس های ابری همگام سازی شده و به راحتی قابل بازیابی است».

پنل وب اندروید Nexus

مهاجمان تمام بدافزارهای نصب شده روی تلفن همراه قربانیان را با استفاده از یک کنترل پنل تحت وب کنترل می کنند. این پانل 450 هدف مالی را نشان می دهد و این امکان را برای مهاجمان ماهر فراهم می کند تا کد تزریق سفارشی بیشتری را برای هدف قرار دادن برنامه های کاربردی اضافی ایجاد کنند.

این پنل مهاجمان را قادر می سازد تا وضعیت همه دستگاه های آلوده را ببینند و آماری در مورد تعداد دستگاه های آلوده به دست آورند. آنها همچنین می توانند داده های دزدیده شده از دستگاه ها مانند اعتبار ورود، کوکی ها، اطلاعات کارت اعتباری و اطلاعات حساس تر را جمع آوری کنند. همه این اطلاعات را می توان از رابط به دست آورد و برای استفاده تقلبی ذخیره کرد.

شاید این مقاله را هم دوست داشته باشید :  حل مشکل وقتی که لینک های TikTok در برنامه اندروید باز نمی شوند

علاوه بر این، پنل وب حاوی سازنده‌ای است که می‌توان از آن برای ایجاد تنظیمات سفارشی برای بدافزار Nexus استفاده کرد.

شباهت به بدافزار بانکی اندروید SOVA

تجزیه و تحلیل دقیق بدافزار انجام شده توسط Cleafy Labs شباهت‌های کدی را بین نمونه‌های Nexus و SOVA، یکی دیگر از تروجان‌های بانکی اندروید که در اواسط سال 2021 ظاهر شد، آشکار کرده است. اگرچه نویسنده Nexus ادعا می‌کند که از ابتدا توسعه داده شده است، اما ممکن است از کد SOVA دوباره استفاده شده باشد.

توسعه‌دهنده SOVA، با نام مستعار «sovenok» اخیراً ادعا کرد که یک شرکت وابسته که قبلاً SOVA را اجاره کرده بود، کل کد منبع پروژه را به سرقت برده است. آنها توجه خود را به نام مستعار دیگری جلب کردند، “Poison”، که به نظر می رسد با پروژه بدافزار Nexus ارتباط دارد.

بیشتر دستورات SOVA در Nexus مورد استفاده مجدد قرار گرفتند و برخی از توابع دقیقاً به همین روش توسعه یافتند.

چگونه در برابر این تهدید بدافزار Nexus Android محافظت کنیم

از آنجایی که ناقل اولیه عفونت ناشناخته است، مهم است که سعی کنید از آلودگی بدافزار در هر سطح در تلفن های هوشمند اندرویدی محافظت کنید:

  • راه‌حل مدیریت دستگاه تلفن همراه را راه‌اندازی کنید: این به شما امکان می‌دهد دستگاه‌های شرکت را از راه دور مدیریت و کنترل کنید، از جمله نصب به‌روزرسانی‌های امنیتی و اجرای سیاست‌های امنیتی.
  • از نرم افزارهای آنتی ویروس معتبر استفاده کنید: همچنین سیستم عامل و تمامی نرم افزارها را کاملاً به روز و اصلاح شده نگه دارید تا از آسیب پذیری های رایج جلوگیری کنید.
  • از فروشگاه‌های ناشناخته اجتناب کنید: فروشگاه‌های ناشناخته بر خلاف فروشگاه‌های رسمی نرم‌افزار تلفن همراه، معمولاً هیچ فرآیند شناسایی بدافزار ندارند. به همه کاربران یادآوری کنید که نرم افزارهایی را که از منابع نامعتبر تهیه شده است نصب نکنند.
  • هنگام نصب یک برنامه، مجوزهای درخواستی را به دقت بررسی کنید: برنامه‌ها فقط باید برای APIهای ضروری مجوز درخواست کنند. برای مثال، یک اسکنر کد QR نباید اجازه ارسال پیامک را بخواهد. قبل از نصب یک برنامه، بررسی کنید که چه امتیازاتی نیاز دارد.
  • آموزش کارمندان در مورد استفاده ایمن از دستگاه تلفن همراه: آموزش هایی را به کارمندان در مورد نحوه شناسایی و اجتناب از برنامه ها، پیوندها و پیوست های مخرب ارائه دهید و آنها را تشویق کنید تا هرگونه فعالیت مشکوک را گزارش کنند.

 

امیدواریم از این مقاله مجله هشت پیک نیز استفاده لازم را کرده باشید و در صورت تمایل آنرا با دوستان خود به اشتراک بگذارید و با امتیاز از قسمت پایین و درج نظرات باعث دلگرمی مجموعه مجله 8pic باشید

5/5 - (1 امتیاز)
اشتراک گذاری

شاید این مطالب را هم دوست داشته باشید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *