Vấn đề bảo mật gần đây ngày càng trở nên quan trọng trong môi trường trực tuyến. Điều này là do ngay cả những công cụ quản lý mật khẩu tương đối đáng tin cậy cũng thường trở thành nạn nhân của các cuộc tấn công của hacker. Trong nhiều trường hợp, những kẻ tấn công thậm chí không thèm phát triển các công cụ của riêng mình từ đầu mà sử dụng các giải pháp làm sẵn dựa trên, chẳng hạn như mô hình MaaS, có thể được triển khai dưới nhiều hình thức khác nhau và mục đích của chúng là giám sát trực tuyến và đánh giá dữ liệu. Tuy nhiên, trong tay kẻ xâm lược, nó có nhiệm vụ lây nhiễm vào các thiết bị và phân phối nội dung độc hại của chính nó. Các chuyên gia bảo mật đã phát hiện ra cách sử dụng MaaS có tên Nexus, nhằm mục đích lấy thông tin ngân hàng từ các thiết bị có Android sử dụng một con ngựa thành Troy.
Chữ ký Làm sạch xử lý vấn đề an ninh mạng đã phân tích phương thức hoạt động của hệ thống Nexus bằng cách sử dụng dữ liệu mẫu từ các diễn đàn ngầm phối hợp với máy chủ TechRadar. Botnet này, tức là một mạng gồm các thiết bị bị xâm nhập sau đó được kiểm soát bởi kẻ tấn công, lần đầu tiên được xác định vào tháng 3 năm ngoái và cho phép khách hàng của nó thực hiện các cuộc tấn công ATO, viết tắt của Account Takeover, với mức phí hàng tháng là 000 USD. Nexus xâm nhập vào thiết bị hệ thống của bạn Android giả dạng một ứng dụng hợp pháp có thể có sẵn trong các cửa hàng ứng dụng bên thứ ba thường đáng ngờ và đóng gói một phần thưởng không mấy thân thiện dưới dạng một con ngựa thành Troy. Sau khi bị nhiễm, thiết bị của nạn nhân sẽ trở thành một phần của mạng botnet.
photo Gallery
Nexus là một phần mềm độc hại mạnh mẽ có thể ghi lại thông tin đăng nhập vào nhiều ứng dụng khác nhau bằng cách sử dụng keylogging, về cơ bản là theo dõi bàn phím của bạn. Tuy nhiên, nó cũng có khả năng đánh cắp mã xác thực hai yếu tố được gửi qua SMS và informace từ ứng dụng Google Authenticator tương đối an toàn. Tất cả điều này mà bạn không hề biết. Phần mềm độc hại có thể xóa tin nhắn SMS sau khi đánh cắp mã, tự động cập nhật chúng ở chế độ nền hoặc thậm chí phân phối phần mềm độc hại khác. Một cơn ác mộng an ninh thực sự.
Vì thiết bị của nạn nhân là một phần của mạng botnet nên những kẻ đe dọa sử dụng hệ thống Nexus có thể giám sát từ xa tất cả các bot, thiết bị bị nhiễm và dữ liệu thu được từ chúng bằng một bảng điều khiển web đơn giản. Giao diện được cho là cho phép tùy chỉnh hệ thống và hỗ trợ tiêm từ xa khoảng 450 trang đăng nhập ứng dụng ngân hàng trông hợp pháp để đánh cắp dữ liệu.
Bạn có thể quan tâm đến
Về mặt kỹ thuật, Nexus là một sự phát triển của trojan ngân hàng SOVA từ giữa năm 2021. Theo Cleafy, có vẻ như mã nguồn SOVA đã bị kẻ điều hành botnet đánh cắp Android, đã cho thuê MaaS kế thừa. Thực thể chạy Nexus đã sử dụng các phần của mã nguồn bị đánh cắp này và sau đó thêm các phần tử nguy hiểm khác, chẳng hạn như mô-đun ransomware có khả năng khóa thiết bị của bạn bằng mã hóa AES, mặc dù tính năng này hiện không hoạt động.
Do đó, Nexus chia sẻ các lệnh và giao thức điều khiển với người tiền nhiệm khét tiếng của nó, bao gồm cả việc bỏ qua các thiết bị ở cùng quốc gia nằm trong danh sách trắng SOVA. Do đó, phần cứng hoạt động ở Azerbaijan, Armenia, Belarus, Kazakhstan, Kyrgyzstan, Moldova, Nga, Tajikistan, Uzbekistan, Ukraine và Indonesia đều bị bỏ qua ngay cả khi công cụ này được cài đặt. Hầu hết các quốc gia này đều là thành viên của Cộng đồng các quốc gia độc lập được thành lập sau sự sụp đổ của Liên Xô.
photo Gallery
Vì phần mềm độc hại có bản chất là ngựa Trojan nên khả năng phát hiện phần mềm độc hại có thể nằm trên thiết bị hệ thống Android khá khắt khe. Một cảnh báo có thể xảy ra là có thể thấy dữ liệu di động và mức sử dụng Wi-Fi tăng đột biến bất thường, điều này thường cho thấy phần mềm độc hại đang liên lạc với thiết bị của tin tặc hoặc cập nhật ở chế độ nền. Một manh mối khác là tình trạng hao pin bất thường khi thiết bị không được sử dụng tích cực. Nếu gặp phải bất kỳ vấn đề nào trong số này, bạn nên bắt đầu nghĩ đến việc sao lưu dữ liệu quan trọng và đặt lại thiết bị của mình về cài đặt gốc hoặc liên hệ với chuyên gia bảo mật đủ trình độ.
Để bảo vệ bạn khỏi phần mềm độc hại nguy hiểm như Nexus, hãy luôn chỉ tải xuống ứng dụng từ các nguồn đáng tin cậy như Cửa hàng Google Play, đảm bảo bạn đã cài đặt bản cập nhật mới nhất và chỉ cấp cho ứng dụng những quyền cần thiết để chạy chúng. Cleafy vẫn chưa tiết lộ phạm vi của mạng botnet Nexus, nhưng ngày nay, tốt hơn là bạn nên thận trọng hơn là gặp phải một bất ngờ khó chịu.
