ANDROIDBezpečnosťSpravodajstvo

Nová hrozba pre Android: Botnet Nexus, ktorý kradne peniaze z viac ako 450 aplikácií, heker prenajíma za pár drobných

Na hackerských fórach neznámy páchateľ začal propagovať nový bankový botnet. Veľa funkcií si požičal z malvéru SOVA.

Bezpečnostný experti si začiatkom tohto roka všimli nový Android bankový botnet menom Nexus. Ten sa začal propagovať a šíriť na niekoľkých hackerských fórach, informuje portál Cleafy.

Na týchto fórach malvér propagoval neznámy autor. Vo viacerých príspevkoch tvrdil, že vírus napísal od základov sám a že tento softvér je stále v počiatočných fázach vývoja. Napriek tomu ponúkal tento škodlivý softvér na prenájom a pýtal si 3-tisíc dolárov na mesiac cez MaaS formu predplatného.

Odoberajte Vosveteit.sk cez Telegram a prihláste sa k odberu správ

MaaS znamená Malware-as-a-Service, teda v preklade Malvér ako služba. Ide o model, ktorý sa v hackerskej sfére využíva pomerne často. Hackeri prenajmú svoj softvér iným zločincom, ktorí nemajú technické znalosti na to, aby si vytvorili tak sofistikovaný softvér. Hackeri v podstate predávajú svojim zákazníkom už hotovú infraštruktúru a tí následne používajú softvér priamo na rôzne útoky.

Ako informuje portál Cleafy, oficiálny štart malvéru Nexus začal 27. januára tohto roku. Vyšetrovanie však odhalilo, že sa tento druh škodlivého softvéru objavil už predtým. V auguste 2022 vyčíňal malvér SOVA, ktorý sa vyznačuje podobným kódom ako nový Nexus. Viacerí experti označovali vtedy neznámy Nexus ako novú verziu malvéru SOVA.

V tomto prípade experti veria, že autor nového malvéru použil niektoré časti zo softvéru SOVA, hoci tvrdí, že bankového botneta napísal od základu sám.

Ukradnutý malvér?

Autorom softvéru SOVA je užívateľ vystupujúci pod prezývkou Sovenok. Ten sa nedávno na hackerskom fóre vyjadril, že jeden jeho komplic si softvér prenajal a ukradol celý zdrojový kód. Tento hacker zároveň identifikoval ďalší škodlivý softvér menom POISON. Tvrdí, že tento botnet je výrazne prepojený so softvérom Nexus.

Podobnosť medzi SOVA a Nexus je v spôsobe, akým oba botnety kontrolujú polohu obete. Útočníci sa musia uistiť, že sa obeť nachádza v krajine, ktorá môže byť napadnutá. Ak sa nachádza, potom softvér pokračuje ďalej a infikuje zariadenie. Ak sa nachádza obeť v „zakázanej“ krajine, potom sa vírus ukončí a nenapácha žiadne škody. Zaujímavosťou je, že medzi zakázanými krajinami sú okrem iných aj Rusko a Ukrajina.

Bankový botnet Nexus dokáže získať kontrolu nad SMS správami a tým obísť dvojfaktorové overenie. Zároveň dokáže ukradnúť nejaké informácie z kryptopeňaženiek, dvojfaktorové autentifikačné kódy Googlu, či súbory cookies zo špecifických stránok. Nexus sa dokáže aj automaticky aktualizovať.

Niektoré zdroje naznačujú, že Nexus má schopnosť zakódovať súbory, hoci táto funkcia je stále vo vývoji. Experti sa domnievajú, že pomocou šifrovania po sebe malvér zakrýva stopy. Uvažuje sa o tom, že by botnet Nexus mohol slúžiť aj ako ransomware, teda softvér, ktorý vám zablokuje prístup k osobným súborom, dokým útočníkovi nezaplatíte.

Dnes už ale tento druh malvéru nevidíme často. Súbory máme vo väčšine prípadov synchronizované s cloudom a vieme sa ku nim ľahko dostať. Hackeri preto považujú ransomware v modernej dobe za zbytočný. Potvrdil to aj hacker Sanovek.

Nexus je na trhu malvéru novinkou a môžeme očakávať, že udrie niekedy tento rok. Ako sme už spomínali, veľa funkcií prebral od škodlivého softvéru SOVA, ktorý zasiahol svet minulý rok. Zatiaľ má Nexus obmedzené možnosti, pretože je stále vo vývoji. Portál Cleafy sa však domnieva, že funkčný by mohol byť už do niekoľkých mesiacov.

Prihláste sa k odberu správ z Vosveteit.sk cez Google správy
Tagy
Zobraziť komentáre
Close
Close