マルチライセンス割引
Threat Database Mobile Malware Nexusバンキング型トロイの木馬

Nexusバンキング型トロイの木馬

Mobile Malware, Banking TrojanMezoまで
翻訳内容:
日本語

Nexus バンキング型トロイの木馬は、Android オペレーティング システムを標的とする一種のモバイル マルウェアです。この脅威は、基本的に、以前に特定および追跡された SOVA バンキング型トロイの木馬の再ブランド化されたバージョンです。その主な目的は、被害者の感染したデバイスから銀行および金融情報を盗むことです。ただし、さまざまな悪意のある機能も備えているため、より重大な脅威になります。

Nexus は、他のアプリケーションのログイン認証情報を盗んだり、音声を録音したり、スクリーンショットを撮ったりするなどのアクションを実行できます。このタイプのマルウェアは、デバイスに保存されている連絡先、メッセージ、その他の機密情報へのアクセスなど、スパイウェア機能も実行できます。そのため、個人のプライバシーとサイバーセキュリティの両方に重大な脅威をもたらします。 Nexus Android バンキング型トロイの木馬に関する詳細は、Cyble の研究者によって公開されました。

Nexus バンキング型トロイの木馬が感染したデバイスから機密情報を収集

Nexus マルウェアは、Android アクセシビリティ サービスを悪用して、ユーザーのデバイスを制御します。この正当な機能は、クリックをシミュレートしたり、表示されたテキストを読んだりすることで、ユーザーがデバイスをより簡単に操作できるようにすることを目的としています。マルウェアがデバイスに侵入すると (通常は正当なアプリを装います)、アクセシビリティ サービスを有効にするようユーザーに要求します。さまざまな方法でマシンと対話できます。

アクセシビリティ サービスを制御できるようになると、Nexus はその権限をエスカレートし、ユーザーがアクセシビリティ サービスを無効にできないようにしたり、Google Play プロテクトやその他のパスワード セキュリティ対策を無効にしたりする機能を含む、追加の権限を自身に付与することができます。

Nexus は、電話のモデル、OS バージョン、IMEI、電池の状態、IP アドレス(位置情報)、SIM カード ID、電話番号、モバイル ネットワーク データなど、さまざまなデバイス情報を収集します。このマルウェアは、特に 40 を超える一般的なバンキング アプリケーションを標的とし、デバイスにインストールされているアプリケーションのリストをチェックして、各バンキング アプリに適切な HTML インジェクション コードをダウンロードします。このコードは偽のオーバーレイを作成します。これは、ユーザーが正規のバンキング アプリを操作したときにトリガーされ、ユーザーにログイン資格情報の入力を求めます。

ユーザーがログイン資格情報を入力すると、マルウェアはそれを攻撃者に送信し、ユーザーの銀行口座へのアクセスを許可します。マルウェアは、ユーザーがアクセシビリティ サービスを無効にするのを防ぐことができるため、引き続き機密情報を収集し、ユーザーのデバイスを危険にさらす可能性があります。

Nexusバンキング型トロイの木馬が侵害されたデバイスの制御を取得

Nexus トロイの木馬は、機密コンテンツ、特に銀行口座を制御するのに役立つさまざまな機能を備えた悪意のあるソフトウェアです。その重要な機能の 1 つは、ログイン資格情報やその他の機密情報を取得するために使用できるキーストローク (キーロギング) を記録する機能です。

さらに、Nexus は SMS メッセージ、通話、および通知も管理できます。特定の番号またはすべての連絡先にテキスト メッセージを読み取ったり、傍受したり、非表示にしたり、削除したり、送信したりすることもできます。これにより、テキスト メッセージを介して送信された OTP と 2FA/MFA、および Google Authenticator からの情報を取得できます。

Nexus は、連絡先情報を変更するだけでなく、ステルス電話をかけたり転送したりすることもできます。これは、Toll Fraud マルウェアに使用される可能性があることを意味します。すべての連絡先にメッセージを送信できるため、スパム SMS メッセージが拡散する可能性があります。

さらに、このトロイの木馬は、偽の通知を読み取ったり、傍受したり、隠したり、表示したりして、通知を管理できます。また、実行中のプロセスのチェック、プログラムの削除、アプリのオープン、デバイスのロック/ロック解除、サウンドのミュート/ミュート解除、ブラウザー経由での URL のオープン、偽のシステム アラート オーバーレイの表示、ユーザー アカウント リストの取得、暗号通貨ウォレットのログイン資格情報と残高の取得も行うことができます。

Nexus は、接続された外部ストレージからファイルを読み取ったり削除したりすることもできます。これは、追加の悪意のあるコンテンツをデバイスに挿入することによって連鎖感染を引き起こすために使用される可能性があります。現在、主にバンキング アプリの HTML インジェクション パッケージを取得するために使用されているようですが、ランサムウェアなどの追加のマルウェアでデバイスを感染させるように変更される可能性があります。

トレンド

Triovideo.ru

Browser Hijackers
Triovideo.ruは、インターネット設定を変更するためにバンドルされたソフトウェアまたはフリーウェアのいずれかでダウンロードされたコンポーネントがインストールされているために自動的にロードされる可能性のある疑わしいWebサイトです。これらの変更の場合、Triovideo.ruは、一般的なWebブラウザのデフォルトのホームページまたは新しいタブページとして設定される場合があります。 Tr...

Elibe Ransomware

Ransomware
Elibe ランサムウェアは、ファイルを暗号化し、ファイル名に「.elibe」を追加して、被害者がデータにアクセスできないようにする機能を特徴としています。 Elibe ランサムウェアは、他の多くのランサムウェアと同様、コンピュータ システムに密かに侵入し、古いソフトウェアの脆弱性を悪用したり、フィッシングメールや悪意のある添付ファイルなどのソーシャル エンジニアリング戦術を利用したりするこ...

Campo Loader

Malware
Campo Loader(またはNLoader)は、日本のエンティティに対する攻撃キャンペーンで悪用されているマルウェアの脅威です。 Campo Loaderは、すでに侵害されたコンピューターに実際のマルウェアペイロードを配信するように設計された初期段階の脅威として機能します。 Campo Loaderは、特定の脅威アクターとその特定の目標に応じて、いくつかの異なるペイロードをドロップするこ...

最も見られました

Lookmovie.io は安全ですか?スクリーンショット

Lookmovie.io は安全ですか?

Issue
29,393
Lookmovie.io は動画ストリーミング サイトです。問題は、コンテンツが違法にストリーミング配信されていることです。さらに、このサイトは不正な広告ネットワークを介して金銭的利益を生み出しています。その結果、ユーザーには疑わしい広告が表示されたり、Web ブラウザーで疑わしい Web サイトが開かれたりすることがよくあります。 実際には、違法に提供されたコンテンツを無視すれば、サイト自...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
24,877
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
23,910
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...