В январе 2023 года на многочисленных хакерских форумах появился новый банковский троян для Android под названием Nexus. Однако команда Threat Intelligence & Response Team компании Cleafy отследила первые заражения Nexus задолго до публичного объявления в июне 2022 года.
- Nexus продвигается через подписку Malware-as-a-Service (MaaS) - особый вид киберпреступности, при котором создатели или распространители вредоносного ПО предоставляют свои услуги другим преступникам или частным лицам на условиях аренды или подписки. Разработчики предлагают свои услуги на подпольных форумах или через частные каналы (например, Telegram), а их клиенты вносят плату за использование вредоносного ПО.
- Nexus, по-видимому, находится на ранней стадии разработки (BETA). Многочисленные кампании, действующие по всему миру, подтверждают, что множество ТА уже используют этот поток для проведения мошеннических кампаний.
- Nexus предоставляет все основные функции для проведения ATO-атак (Account Takeover) на банковские порталы и криптовалютные сервисы, такие как кража учетных данных и перехват SMS. Он также предоставляет встроенный список инъекций против 450 финансовых приложений.
Несмотря на то, что Nexus продвигается как совершенно новая вредоносная программа, она содержит некоторые связи с банковским трояном SOVA, что говорит о том, что разработчики переняли и повторно использовали старые разработки.
Indicators of Compromise
IPv4
- 193.42.32.84
- 193.42.32.87
MD5
- d4c6871dbd078685cb138a499113d280