Je zou je moeten schamen als je dacht dat de digitale wereld veiliger was dan de echte wereld. Er gaat geen dag voorbij zonder nieuws over een bedrijf met een datalek. Je kunt geen bedrijf noemen dat niet zo’n probleem heeft gehad. Bovendien zijn de grootste datalekken bij de grote merken gebeurd. We veronderstellen dat u deze bedrijven de schuld geeft van zwakke beveiligingsmaatregelen. Maar het is een wereldwijd probleem, en zij (en wij) zijn geen heiligen. Onlangs hoorden we over een nieuwe trojan voor Android-bankieren die zich richt op 450 verschillende bank-en financiële apps. Het heet Nexus en het is een evolutie van de SOVA-banktrojan uit medio 2021. Dit botnet is zelfs een jaar geleden ontdekt.
Het blijkt dat deze trojan voor Android-bankieren een algemeen hulpmiddel is dat door veel kwaadwillenden kan worden gebruikt. Dat wil zeggen, kwaadwillenden die geen eigen MaaS (malware as a service) hebben, kunnen Nexus in handen krijgen en er geld mee verdienen. Volgens Cleafy kan iedereen die door een hacker wordt gebruikt het om ATO-aanvallen (account takeover) uit te voeren voor een maandelijks bedrag van $3.000.
Hoe werkt deze trojan voor Android-bankieren?
De trojan voor Android-bankieren dringt uw Android-systeem binnen door zich voor te doen als een legitieme toepassing. Zodra het zich echter in het systeem bevindt, wordt het apparaat van het slachtoffer onderdeel van het botnet dat wordt beheerd door de hacker.
Net als andere keyloggers kan Nexus uw inloggegevens in verschillende apps opnemen. We weten wat u denkt: tweefactorauthenticatie (2FA). Maar dit is niet het geval wanneer het u kan helpen uw bankrekeningen te beschermen. Het punt is dat Nexus 2FA-codes en informatie kan stelen die via sms is verzonden vanuit de Google Authenticator-applicatie. Erger nog, u zult er niets van weten omdat de Trojan 2FA SMS zal verwijderen na het stelen van de codes.
Gizchina Nieuws van de week
Zodra het apparaat van het slachtoffer onderdeel wordt van het botnet, kan de hacker het op afstand monitoren via een webpanel en zelfs aanpassingen maken. Momenteel kan het bankreferenties stelen van 450 bankapplicaties.
SOVA geëvalueerd
Een paar jaar geleden was er een vergelijkbare MaaS genaamd SOVA. De broncode is echter gestolen door een Android-botnetoperator. Nexus is gebouwd op de kern van SOVA en de gestolen code. Degenen die Nexus hebben gemaakt, hebben echter ook”gevaarlijke elementen toegevoegd, zoals een ransomware-module die u met AES-codering de toegang tot uw apparaat kan ontzeggen”.
Goed nieuws voor mensen in de volgende landen: Azerbeidzjan, Armenië, Wit-Rusland, Kazachstan, Kirgizië, Moldavië, Rusland, Tadzjikistan, Oezbekistan, Oekraïne en Indonesië. Deze trojan voor Android-bankieren werkt niet op apparaten in de bovengenoemde landen (gelukkig maar). De meeste van deze landen zijn lid van het Gemenebest van Onafhankelijke Staten (GOS).
Moeilijk te ontdekken
Dit is trojan-malware. Het is dus niet eenvoudig te detecteren in Android. Maar als u vreemd gedrag van uw smartphone opmerkt, zoals een abnormaal batterijverbruik of abnormale pieken in mobiele data en Wi-Fi-gebruik, is het beter om de fabrieksinstellingen van uw Android-telefoon terug te zetten.
Een andere aanbeveling is om apps te downloaden van gerenommeerde bronnen zoals de Google Play Store. Zorg er ook voor dat op uw telefoon de nieuwste beschikbare beveiligingspatch wordt uitgevoerd en dat u alleen apps de machtigingen geeft die ze nodig hebben om te worden uitgevoerd.
Tot nu toe is er geen informatie over hoe wijdverspreid het Nexus-botnet is. Maar dat mag je niet stil laten zitten.
Bron/VIA:
