Недавно Cyble Research and Intelligence Labs (CRIL) обнаружила на одном из российских киберпреступных форумов рекламу банковского трояна для Android под названием Nexus. По словам разработчика, вредоносная программа является новым проектом, который постоянно развивается и совместим с Android версий до 13.
Дальнейшее расследование показало, что вредоносная программа Nexus распространялась через фишинговые страницы, замаскированные под легитимные веб-сайты YouTube Vanced. Фишинговые страницы включали такие сайты, как youtubeadvanced[.]net и youtubevanvedadw[.]net, среди прочих.
После анализа образцов Nexus, полученных с фишинговых страниц, было установлено, что код вредоносной программы имеет сходство с кодом банковского трояна S.O.V.A, который был впервые обнаружен в середине 2021 года и специально разработан для Android-устройств.
В прошлом создали пятую итерацию банковского трояна S.O.V.A. для Android, который был нацелен не только на банковский сектор, но и содержал функцию ransomware. Теперь разработчик рекламирует на киберпреступных форумах ребрендированную версию вредоносной программы S.O.V.A. под названием "Nexus" с обновленным списком банков-мишеней. Используя сервисы доступности, банковский троянец "Nexus" для Android теперь может атаковать 40 банковских приложений для кражи учетных данных пользователей.
Indicators of Compromise
Domains
- youtubeadvanced.net
- youtubevanvedadw.net
URls
- http://5.161.97.57:5000
MD5
- d87e04db4f4a36df263ecbfe8a8605bd
SHA1
- 1c99c658e30c672927dccbd8628107abf36d990d
SHA256
- 3dcd8e0cf7403ede8d56df9d53df26266176c3c9255a5979da08f5e8bb60ee3f