بدافزار اندروید Nexus 450 برنامه مالی را هدف قرار می دهد
با مجله هشت پیک با خبر اختصاصی در مورد یک بد افزار همراه ما باشید . بدافزار اندروید Nexus 450 برنامه مالی را هدف قرار می دهد
یاد بگیرید چگونه از سازمان و کاربران خود در برابر این تروجان بانکی اندروید محافظت کنید.
بدافزار Nexus یک تروجان بانکی اندرویدی است که از طریق یک مدل بدافزار به عنوان سرویس تبلیغ میشود. همانطور که در تحقیقات جدید Cleafy، ارائهدهنده راهکارهای امنیت سایبری مستقر در ایتالیا، گزارش شده است، این بدافزار از ژانویه 2023 در چندین انجمن زیرزمینی جرایم سایبری تبلیغ شده است.
در یک آگهی انجمن جرایم سایبری زیرزمینی، پروژه بدافزار به عنوان “بسیار جدید” و “در حال توسعه مداوم” توصیف شده است. پیامهای بیشتر از نویسنده Nexus در یک رشته انجمن نشان میدهد که کد بدافزار از ابتدا ایجاد شده است. نکته جالب: نویسندگان استفاده از بدافزار را در روسیه و کشورهای مشترک المنافع ممنوع کرده اند.
پرش به:
تأثیر بالقوه بدافزار Nexus Android
تعداد سرورهای کنترل Nexus در حال افزایش است و تهدید در حال افزایش است. طبق گفتههای Cleafy Labs، در سال 2023 بیش از 16 سرور برای کنترل Nexus یافت شد که احتمالاً توسط چندین شرکت وابسته به برنامه MaaS استفاده میشد.
همانطور که توسط محققان Cleafy بیان شده است، “عدم وجود یک ماژول VNC محدوده عمل و قابلیت های آن را محدود می کند. با این حال، با توجه به میزان آلودگی بازیابی شده از چندین پنل C2، Nexus یک تهدید واقعی است که قادر است صدها دستگاه را در سراسر جهان آلوده کند.
Nexus به قیمت 3000 دلار در ماه از طریق اشتراک MaaS فروخته می شود، که آن را به فرصتی جالب برای مجرمان سایبری تبدیل می کند که تخصص توسعه بدافزار یا رمزگذاری آن را ندارند تا راه حل های آنتی ویروس را دور بزند.
تجزیه و تحلیل فنی بدافزار Nexus Android
بدافزار Nexus بر روی سیستمعاملهای اندروید اجرا میشود و دارای چندین عملکرد مورد علاقه مجرمان سایبری است.
حملات تصاحب حساب را می توان با استفاده از بدافزار Nexus انجام داد. Nexus یک لیست جامع از 450 صفحه ورود به برنامه مالی برای گرفتن اعتبار کاربران دارد. همچنین می تواند حملات همپوشانی و فعالیت های کاربران keylog را انجام دهد.
حملات Overlay در تروجان های موبایل بانکی بسیار محبوب هستند. آنها شامل قرار دادن یک پنجره در بالای یک برنامه قانونی برای درخواست اعتبار از کاربر است تا بتوان آنها را به سرقت برد. حملات همپوشانی همچنین میتوانند کوکیها را از سایتهای خاص بدزدند، معمولاً برای سوء استفاده از کوکیهای جلسه. علاوه بر این، بدافزار اندروید Nexus می تواند اطلاعات را از کیف پول های رمزنگاری شده سرقت کند.
ببینید: خط مشی امنیتی دستگاه تلفن همراه (TechRepublic Premium)
این بدافزار دارای قابلیت رهگیری پیامک است که میتواند برای دور زدن احراز هویت دو مرحلهای و گرفتن کدهای امنیتی که به تلفن همراه قربانی ارسال میشوند، استفاده شود. Nexus همچنین میتواند کدهای 2FA را برای برنامه Google Authenticator بگیرد.
با مقایسه کد دو باینری مختلف Nexus از سپتامبر 2022 و مارس 2023، محققان Cleafy دریافتند که توسعهدهنده بدافزار همچنان فعالانه روی آن کار میکند. ویژگیهای جدیدی ظاهر شده است، مانند امکان حذف پیامک دریافتی در تلفن همراه قربانی یا فعال/غیرفعال کردن قابلیتهای سرقت 2FA از بدافزار.
بدافزار Nexus مرتباً خود را با بررسی سرور C2 برای آخرین شماره نسخه بهروزرسانی میکند. اگر مقدار دریافتی با مقدار فعلی مطابقت نداشته باشد، بدافزار به طور خودکار به روز رسانی خود را راه اندازی می کند.
Cleafy Labs نشان داد که قابلیتهای رمزگذاری در نمونههای مختلف Nexus یافت شده است، اما به نظر میرسد این قابلیتها هنوز در حال توسعه هستند و هنوز استفاده نشدهاند. در حالی که این کد ممکن است بخشی از تلاش برای تولید کد باجافزار باشد، محققان تخمین زدند که ممکن است ناشی از فعالیتهای بد برش و چسباندن در بسیاری از بخشهای کد باشد. همچنین ممکن است در حال توسعه برای یک قابلیت مخرب برای بی استفاده کردن سیستم عامل پس از استفاده از آن برای فعالیت های مجرمانه باشد.
همانطور که توسط Cleafy Labs بیان شده است، «فکر کردن در مورد روش عملیاتی باج افزار در دستگاه های تلفن همراه سخت است، زیرا بیشتر اطلاعات ذخیره شده با سرویس های ابری همگام سازی شده و به راحتی قابل بازیابی است».
پنل وب اندروید Nexus
مهاجمان تمام بدافزارهای نصب شده روی تلفن همراه قربانیان را با استفاده از یک کنترل پنل تحت وب کنترل می کنند. این پانل 450 هدف مالی را نشان می دهد و این امکان را برای مهاجمان ماهر فراهم می کند تا کد تزریق سفارشی بیشتری را برای هدف قرار دادن برنامه های کاربردی اضافی ایجاد کنند.
این پنل مهاجمان را قادر می سازد تا وضعیت همه دستگاه های آلوده را ببینند و آماری در مورد تعداد دستگاه های آلوده به دست آورند. آنها همچنین می توانند داده های دزدیده شده از دستگاه ها مانند اعتبار ورود، کوکی ها، اطلاعات کارت اعتباری و اطلاعات حساس تر را جمع آوری کنند. همه این اطلاعات را می توان از رابط به دست آورد و برای استفاده تقلبی ذخیره کرد.
علاوه بر این، پنل وب حاوی سازندهای است که میتوان از آن برای ایجاد تنظیمات سفارشی برای بدافزار Nexus استفاده کرد.
شباهت به بدافزار بانکی اندروید SOVA
تجزیه و تحلیل دقیق بدافزار انجام شده توسط Cleafy Labs شباهتهای کدی را بین نمونههای Nexus و SOVA، یکی دیگر از تروجانهای بانکی اندروید که در اواسط سال 2021 ظاهر شد، آشکار کرده است. اگرچه نویسنده Nexus ادعا میکند که از ابتدا توسعه داده شده است، اما ممکن است از کد SOVA دوباره استفاده شده باشد.
توسعهدهنده SOVA، با نام مستعار «sovenok» اخیراً ادعا کرد که یک شرکت وابسته که قبلاً SOVA را اجاره کرده بود، کل کد منبع پروژه را به سرقت برده است. آنها توجه خود را به نام مستعار دیگری جلب کردند، “Poison”، که به نظر می رسد با پروژه بدافزار Nexus ارتباط دارد.
بیشتر دستورات SOVA در Nexus مورد استفاده مجدد قرار گرفتند و برخی از توابع دقیقاً به همین روش توسعه یافتند.
چگونه در برابر این تهدید بدافزار Nexus Android محافظت کنیم
از آنجایی که ناقل اولیه عفونت ناشناخته است، مهم است که سعی کنید از آلودگی بدافزار در هر سطح در تلفن های هوشمند اندرویدی محافظت کنید:
- راهحل مدیریت دستگاه تلفن همراه را راهاندازی کنید: این به شما امکان میدهد دستگاههای شرکت را از راه دور مدیریت و کنترل کنید، از جمله نصب بهروزرسانیهای امنیتی و اجرای سیاستهای امنیتی.
- از نرم افزارهای آنتی ویروس معتبر استفاده کنید: همچنین سیستم عامل و تمامی نرم افزارها را کاملاً به روز و اصلاح شده نگه دارید تا از آسیب پذیری های رایج جلوگیری کنید.
- از فروشگاههای ناشناخته اجتناب کنید: فروشگاههای ناشناخته بر خلاف فروشگاههای رسمی نرمافزار تلفن همراه، معمولاً هیچ فرآیند شناسایی بدافزار ندارند. به همه کاربران یادآوری کنید که نرم افزارهایی را که از منابع نامعتبر تهیه شده است نصب نکنند.
- هنگام نصب یک برنامه، مجوزهای درخواستی را به دقت بررسی کنید: برنامهها فقط باید برای APIهای ضروری مجوز درخواست کنند. برای مثال، یک اسکنر کد QR نباید اجازه ارسال پیامک را بخواهد. قبل از نصب یک برنامه، بررسی کنید که چه امتیازاتی نیاز دارد.
- آموزش کارمندان در مورد استفاده ایمن از دستگاه تلفن همراه: آموزش هایی را به کارمندان در مورد نحوه شناسایی و اجتناب از برنامه ها، پیوندها و پیوست های مخرب ارائه دهید و آنها را تشویق کنید تا هرگونه فعالیت مشکوک را گزارش کنند.
امیدواریم از این مقاله مجله هشت پیک نیز استفاده لازم را کرده باشید و در صورت تمایل آنرا با دوستان خود به اشتراک بگذارید و با امتیاز از قسمت پایین و درج نظرات باعث دلگرمی مجموعه مجله 8pic باشید
لینک کوتاه مقاله : https://5ia.ir/LcBPge
کوتاه کننده لینک
کد QR :
آخرین دیدگاهها