Nexus Banking Trojan IOCs

remote access Trojan IOC

Недавно Cyble Research and Intelligence Labs (CRIL) обнаружила на одном из российских киберпреступных форумов рекламу банковского трояна для Android под названием Nexus. По словам разработчика, вредоносная программа является новым проектом, который постоянно развивается и совместим с Android версий до 13.

Дальнейшее расследование показало, что вредоносная программа Nexus распространялась через фишинговые страницы, замаскированные под легитимные веб-сайты YouTube Vanced. Фишинговые страницы включали такие сайты, как youtubeadvanced[.]net и youtubevanvedadw[.]net, среди прочих.

После анализа образцов Nexus, полученных с фишинговых страниц, было установлено, что код вредоносной программы имеет сходство с кодом банковского трояна S.O.V.A, который был впервые обнаружен в середине 2021 года и специально разработан для Android-устройств.

В прошлом создали пятую итерацию банковского трояна S.O.V.A. для Android, который был нацелен не только на банковский сектор, но и содержал функцию ransomware. Теперь разработчик рекламирует на киберпреступных форумах ребрендированную версию вредоносной программы S.O.V.A. под названием "Nexus" с обновленным списком банков-мишеней. Используя сервисы доступности, банковский троянец "Nexus" для Android теперь может атаковать 40 банковских приложений для кражи учетных данных пользователей.

Indicators of Compromise

Domains

  • youtubeadvanced.net
  • youtubevanvedadw.net

URls

  • http://5.161.97.57:5000

MD5

  • d87e04db4f4a36df263ecbfe8a8605bd

SHA1

  • 1c99c658e30c672927dccbd8628107abf36d990d

SHA256

  • 3dcd8e0cf7403ede8d56df9d53df26266176c3c9255a5979da08f5e8bb60ee3f
SEC-1275-1
Добавить комментарий