Được cài cắm trong ứng dụng xem YouTube giả mạo, mã độc này nhắm đến 450 ứng dụng ngân hàng và ví tiền điện tử sau khi đã được cài đặt lên điện thoại nạn nhân.
Mã độc
Được phát hiện lần đầu tiên vào tháng 6 năm ngoái. Mã độc có tên gọi Nexus hiện đang được những kẻ đầu tiêu quảng cáo công khai trên các diễn đàn tin tặc để tăng phạm vi bẫy các nạn nhân. Mục tiêu chính của những kẻ cầm đầu là 450 ứng dụng ngân hàng và ví tiền điện tử.
“Nexus dường như đang trong giai đoạn phát triển ban đầu”. Công ty an ninh mạng Ý Cleafy cho biết trong một báo cáo được công bố trong tuần này.
“Nexus cung cấp tất cả các tính năng chính để thực hiện các cuộc tấn công ATO (Chiếm đoạt tài khoản). Đối với các cổng ngân hàng và dịch vụ tiền điện tử. Chẳng hạn như đánh cắp thông tin đăng nhập và chặn SMS.”
Trojan – mã độc
Trojan này xuất hiện trên nhiều diễn đàn hacker khác nhau vào đầu năm nay. Được rao bán với mức phí đăng ký hàng tháng là 3.000 đô la. Chi tiết về phần mềm độc hại lần đầu tiên được Cyble ghi nhận vào đầu tháng này.
Có dấu hiệu phần mềm này đã được sử dụng trong cuộc tấn công, kể từ tháng 6 năm 2022. Ít nhất 6 tháng trước khi có được rao bán chính thức trên chợ đen. Mã độc này cũng được cho là trùng lặp với một trojan ngân hàng khác có tên là SOVA.
Giống như các trojan ngân hàng khác. Ứng dụng cài cắm mã độc Nexus, cũng chứa các tính năng chiếm đoạt các tài khoản liên quan đến dịch vụ ngân hàng và tiền điện tử. Chúng chiếm đoạt bằng cách thực hiện các cuộc tấn công giả thông báo trên màn hình. Và theo dõi hành trình bàn phím, để đánh cắp thông tin đăng nhập của người dùng.
Hơn nữa, nó có khả năng đọc mã xác thực hai yếu tố (2FA) từ tin nhắn SMS và ứng dụng Google Authenticator. Thông qua việc lạm dụng các dịch vụ trợ năng của Android.
Một số chức năng đáng chú ý khác là khả năng xóa các tin nhắn SMS đã nhận. Kích hoạt hoặc dừng mô-đun đánh cắp mã 2FA. Và tự cập nhật bằng cách ping định kỳ máy chủ chỉ huy và kiểm soát (C2).
>>>>> Xem thêm: <Thủ đô Berlin của Đức – ‘Thành lũy của tiền mặt’ không còn dùng tiền mặt