Otázka bezpečnosti je poslednou dobou v online prostredí stále aktuálnejšia. Často sa totiž obeťou útokov hackerov stávajú aj pomerne dôveryhodné nástroje poskytujúce správu hesiel. Útočníci sa dokonca v mnohých prípadoch ani neobťažujú s vývojom vlastných inštrumentov od nuly, ale využívajú hotové riešenia založené napríklad na modeli MaaS, ktorý môže byť nasadený v rôznych podobách a jeho účelom je online monitoring a vyhodnocovanie dát. V rukách agresora však slúži na infikovanie zariadenia a distribúciu vlastného, škodlivého obsahu. Bezpečnostným expertom sa podarilo objaviť použitie takého MaaS s názvom Nexus, ktorý cieli na získavanie bankových informácií zo zariadení so systémom Android pomocou trójskeho koňa.
Spoločnosť Cleafy zaoberajúce sa kybernetickou bezpečnosťou analyzovala modus operandi systému Nexus za pomoci vzorových dát z undergroundových fór v spolupráci so serverom TechRadar. Tento botnet, teda sieť napadnutých zariadení, ktoré sú potom ovládané útočníkom, bol prvýkrát identifikovaný v júni minulého roka a svojim klientom umožňuje vykonávať útoky typu ATO, skratka pre Account Takeover, za mesačný poplatok 3 000 amerických dolárov. Nexus preniká do vášho zariadenia so systémom Android v prestrojení za legitímnu aplikáciu, ktorá môže byť k dispozícii v často pochybných obchodoch s aplikáciami tretích strán a pribaľuje nie práve priateľský bonus v podobe trójskeho koňa. Po infikovaní sa zariadenie obete stane súčasťou botnetu.
Fotogaléria
Nexus predstavuje výkonný malware, ktorý dokáže zaznamenávať prihlasovacie údaje do rôznych aplikácií pomocou keyloggingu, v podstate špehuje vašu klávesnicu. Je však schopný tiež ukradnúť kódy dvojfaktorového overovania doručené pomocou SMS a informace z inak pomerne bezpečné aplikácie Google Authenticator. To všetko bez vášho vedomia. Malware môže po krádeži kódov zmazať SMS, automaticky ich aktualizovať na pozadí alebo dokonca distribuovať ďalší malware. Skutočná nočná mora bezpečnosti.
Vzhľadom na to, že zariadenia obete sú súčasťou botnetu, môžu aktéri hrozieb využívajúci systém Nexus pomocou jednoduchého webového panelu vzdialene sledovať všetky topánky, teda infikované zariadenia a dáta z nich získané. Rozhranie údajne umožňuje prispôsobenie systému a podporuje vzdialenú injektáž približne 450 legitímne vyzerajúcich prihlasovacích stránok bankových aplikácií za účelom krádeže údajov.
Mohlo by vás zaujímať
Čisto technicky je Nexus evolúciou bankového trójskeho koňa SOVA z polovice roku 2021. Podľa Cleafy to vyzerá, že zdrojový kód SOVA bol ukradnutý prevádzkovateľom botnetu Android, ktorý si prenajal staršie MaaS. Subjekt prevádzkujúci Nexus použil časti tohto ukradnutého zdrojového kódu a potom pridal ďalšie nebezpečné prvky, ako je ransomwarový modul schopný zablokovať vaše zariadenie pomocou šifrovania AES, hoci sa zdá, že tento v súčasnosti nie je aktívny.
Nexus preto zdieľa príkazy a riadiace protokoly so svojím neslávne presláveným predchodcom, vrátane ignorovania zariadení v rovnakých krajinách, ktoré boli na bielej listine SOVA. Hardvér prevádzkovaný v Azerbajdžane, Arménsku, Bielorusku, Kazachstane, Kirgizsku, Moldavsku, Rusku, Tadžikistane, Uzbekistane, Ukrajine a Indonézii je teda ignorovaný, aj keď je nástroj nainštalovaný. Väčšina týchto krajín je členom Spoločenstva nezávislých štátov založenom po rozpade Sovietskeho zväzu.
Fotogaléria
Vzhľadom na to, že malware má povahu trójskeho koňa, môže byť jeho detekcia v zariadení so systémom Android pomerne náročná. Možným varovaním môže byť pozorovanie neobvyklých skokov vo využívaní mobilných dát a Wi-Fi, ktoré obvykle svedčia o tom, že malware komunikuje so zariadením hackera alebo sa aktualizuje na pozadí. Ďalšie vodítko predstavuje abnormálne vybíjanie batérie v čase, keď zariadenie nie je aktívne používané. Pokiaľ na niektorý z týchto problémov narazíte, je vhodné začať uvažovať nad zálohovaním dôležitých dát a obnovením továrenského nastavenia vášho zariadenia alebo sa obrátiť na kvalifikovaného bezpečnostného odborníka.
Ak sa chcete chrániť pred nebezpečným malwarom, ako je Nexus, sťahujte aplikácie vždy len z dôveryhodných zdrojov, ako je obchod Google Play, uistite sa, že máte nainštalované najnovšie aktualizácie a že aplikáciám udeľujete iba tie oprávnenia, ktoré sú nevyhnutné pre ich prevádzku. Cleafy sa zatiaľ nepodarilo odhaliť, mieru rozšírenia botnetu Nexus, ale v dnešnej dobe je vždy lepšie ísť cestou opatrnosti, než následného nepríjemného prekvapenia.
