Nexus Android トロイの木馬

「Nexus」として知られる新たな Android バンキング型トロイの木馬は、複数の攻撃者による悪意のあるツールにすでに追加されています。サイバー犯罪者はこの脅威を利用して、約 450 の金融アプリケーションを標的にし、不正行為を実行しました。

この脅威に関するレポートを発表したイタリアのサイバーセキュリティによると、Nexus は開発の初期段階にあるようです。ただし、このトロイの木馬は、ログイン資格情報の盗難や SMS メッセージの傍受など、銀行ポータルや暗号通貨サービスに対するアカウント乗っ取り (ATO) 攻撃を実行するために必要なすべての機能を提供します。 Nexus の悪意のある機能により、洗練された危険なバンキング トロイの木馬となり、被害者に重大な経済的損害を与える可能性があります。 Nexus は、特に Android デバイスを侵害するように設計されています。

Nexus Banking Trojan はサブスクリプション サービスとして提供される

Nexus Banking トロイの木馬は、さまざまなハッキング フォーラムで、MaaS (Malware-as-a-Service) スキームとして月額 3,000 ドルで販売されていることが判明しました。しかし、このトロイの木馬は、ダークネット ポータルで公式に発表される少なくとも 6 か月前の 2022 年 6 月には、すでに実際の攻撃に展開されていた可能性があることを示唆する証拠があります。

マルウェアの作成者は、自身の Telegram チャンネルによると、Nexus 感染の大部分がトルコで報告されていることを確認しています。さらに、このマルウェアの脅威は、SOVA と呼ばれる別のバンキング型トロイの木馬と重複していることが判明しており、実際にはそのソース コードの一部を再利用しています。 Nexus トロイの木馬には、活発に開発されていると思われるランサムウェア モジュールも含まれています。

興味深いことに、Nexus の作成者は、アゼルバイジャン、アルメニア、ベラルーシ、カザフスタン、キルギスタン、モルドバ、ロシア、タジキスタン、ウズベキスタン、ウクライナ、インドネシアなど、いくつかの国でマルウェアの使用を禁止する明確な規則を設定しています。

Nexusバンキング型トロイの木馬で発見された脅威機能の広範なリスト

Nexus は、オーバーレイ攻撃やキーロギングなどのさまざまな手法を使用して、ユーザーの銀行口座や暗号通貨アカウントへの不正アクセスを取得するように特別に設計されています。これらの方法により、マルウェアはユーザーのログイン資格情報やその他の機密情報を盗みます。

これらの戦術に加えて、このマルウェアには、SMS メッセージと Google Authenticator アプリの両方から 2 要素認証 (2FA) コードを読み取る機能があります。これは、Android のアクセシビリティ サービスを活用することで可能になります。

さらに、このマルウェアは、受信した SMS メッセージを削除する機能、2FA スティーラー モジュールをアクティブ化または非アクティブ化する機能、コマンド アンド コントロール (C2) サーバーと定期的に通信して自身を更新する機能など、新しい機能によって強化されています。これらの新機能により、マルウェアはさらに危険になり、検出が困難になります。