تم اعتماد حصان طروادة مصرفي ناشئ على نظام Android يُطلق عليه اسم Nexus من قبل العديد من الجهات الفاعلة في مجال التهديد لاستهداف 450 تطبيقًا ماليًا وإجراء عمليات احتيال.
وقالت شركة الأمن السيبراني الإيطالية Cleafy في تقرير نُشر هذا الأسبوع : "يبدو أن Nexus في مراحله الأولى من التطوير" .
"يوفر Nexus جميع الميزات الرئيسية لتنفيذ هجمات ATO (الاستيلاء على الحساب) ضد البوابات المصرفية وخدمات العملات المشفرة ، مثل سرقة بيانات الاعتماد واعتراض الرسائل القصيرة."
تم الإعلان عن حصان طروادة ، الذي ظهر في العديد من منتديات القرصنة في بداية العام ، كخدمة اشتراك لعملائه مقابل رسوم شهرية قدرها 3000 دولار. تم توثيق تفاصيل البرنامج الضار لأول مرة بواسطة Cyble في وقت سابق من هذا الشهر.
ومع ذلك ، هناك مؤشرات على أن البرنامج الضار ربما تم استخدامه في هجمات في العالم الحقيقي في وقت مبكر من يونيو 2022 ، قبل ستة أشهر على الأقل من إعلانه الرسمي على بوابات الشبكة المظلمة.
يقال أيضًا أنه يتداخل مع طروادة مصرفية أخرى يطلق عليها SOVA ، حيث يعيد استخدام أجزاء من كود المصدر الخاص به ويدمج وحدة برامج الفدية التي يبدو أنها قيد التطوير النشط.
النقطة الجديرة بالذكر هنا هي أن Nexus هو نفس البرامج الضارة التي صنفتها Cleafy في البداية على أنها متغير جديد من SOVA (يطلق عليها اسم V5) في أغسطس 2022.
ومن المثير للاهتمام أن مؤلفي Nexus قد وضعوا قواعد صريحة تحظر استخدام برمجياتها الضارة في أذربيجان وأرمينيا وبيلاروسيا وكازاخستان وقيرغيزستان ومولدوفا وروسيا وطاجيكستان وأوزبكستان وأوكرانيا وإندونيسيا.
تحتوي البرامج الضارة ، مثلها مثل أحصنة طروادة المصرفية الأخرى ، على ميزات لتولي الحسابات المتعلقة بالخدمات المصرفية والعملات المشفرة من خلال تنفيذ هجمات التراكب وتسجيل لوحة المفاتيح لسرقة بيانات اعتماد المستخدمين.
علاوة على ذلك ، فهو قادر على قراءة رموز المصادقة الثنائية (2FA) من رسائل SMS وتطبيق Google Authenticator من خلال إساءة استخدام خدمات إمكانية الوصول في Android.
تتمثل بعض الإضافات الجديدة في قائمة الوظائف في قدرتها على إزالة رسائل SMS المستلمة ، وتنشيط أو إيقاف وحدة 2FA stealer ، وتحديث نفسها عن طريق اختبار اتصال خادم القيادة والتحكم (C2) بشكل دوري.
قال الباحثون: "يسمح نموذج [Malware-as-a-Service] للمجرمين بتحقيق الدخل من برمجياتهم الضارة بكفاءة أكبر من خلال توفير بنية تحتية جاهزة لعملائهم ، الذين يمكنهم بعد ذلك استخدام البرامج الضارة لمهاجمة أهدافهم".