Nexus: преемник Android-трояна SOVA, нацеленный на 40 банковских приложений
Главная » Новости

Nexus: преемник Android-трояна SOVA, нацеленный на 40 банковских приложений

Татьяна Никитина 13 Марта 2023 - 14:54
...
Nexus: преемник Android-трояна SOVA, нацеленный на 40 банковских приложений

Исследователи из Cyble обнаружили в даркнете рекламу нового банковского трояна для Android. Анализ образцов Nexus показал, что по коду он схож с SOVA v.5, а список приложений для кражи учетных данных содержит 40 позиций.

Эксперты полагают, что авторы SOVA попросту провели ребрендинг и обновили список атакуемых банков. Новобранец распространяется с помощью поддельных страниц YouTube Vanced, отдающих его под видом одноименного клиента. По состоянию на 12 марта вредоносный APK детектируют 26 из 64 антивирусов коллекции VirusTotal.

 

При первом запуске Nexus запрашивает доступ к Accessibility Service. Спецвозможности позволят банкеру расширить свой список разрешений, включить режим администратора, фиксировать ввод с клавиатуры.

Совокупно троян запрашивает 50 различных разрешений. Как минимум 14 из них используются для совершения следующих действий:

  • чтение, перехват и отправка СМС;
  • просмотр адресной книги, списка аккаунтов, текущих и недавно завершенных задач;
  • подмена хранимых контактных данных;
  • звонки без ведома пользователя;
  • чтение, запись и удаление файлов на внешней карте памяти;
  • отключение блокировки телефона и парольной защиты;
  • установка дополнительных приложений.

Командный сервер Nexus расположен в США; соответствующий IP-адрес выделен германскому хостинг-провайдеру Hetzner Online. Установив соединение, вредонос отсылает конфиденциальную информацию, в том числе журналы Accessibility и список установленных приложений.

Последний при получении сравнивается со списком целевых банковских программ на 40 позиций. При выявлении совпадений резидентному зловреду отдается команда enableinject с именем пакета, инициирующая загрузку HTML-кода. Фишинговая страница открывается в WebView при каждом запуске атакуемого приложения.

Новоявленный банкер умеет воровать 2FA-коды из Google Authenticator, сид-фразы для получения доступа к Trust и Exodus, а также информацию о балансе на этих кошельках. Кроме того, Nexus, как и SOVA v5, снабжен модулем для шифрования файлов на зараженном устройстве. Используемый алгоритм тот же — AES.

Следующая главная новость »
AM LiveРоссийская инфраструктура виртуальных рабочих столов: ошибки внедрения и перспективы на 2026 год. Обсудим в эфире AM Live. Регистрируйтесь »

ИИ-сервисы вовлекли в атаки ClickFix с целью засева macOS-трояна AMOS
Татьяна Никитина 11 Декабря 2025 - 19:29
macOS Трояны Домашние пользователиКорпорации
ИИ-сервисы вовлекли в атаки ClickFix с целью засева macOS-трояна AMOS

Распространители macOS-стилера AMOS осваивают новую схему ClickFix: размещают вредоносные инструкции на сайтах ChatGPT и Grok, расшаривают свои чаты и выводят их в топ поисковой выдачи Google, оплачивая рекламу.

Новую вредоносную кампанию параллельно обнаружили эксперты «Лаборатории Касперского» и Huntress.

Атака ClickFix начинается с перехода по спонсорской ссылке, выданной юзеру macOS при поиске полезных советов, решения проблем или рекомендаций по установке браузера Atlas разработки OpenAI.

 

При клике по коварной ссылке открывается страница официального сайта ChatGPT (либо Grok) с инструкциями — расшаренной с помощью опции «Поделиться чатом» репликой ИИ-бота, которую злоумышленники спровоцировали умело составленными запросами.

Посетителю предлагают запустить на компьютере терминал, а затем скопипастить код для выполнения команды. Примечательно, что опасность такого шага сможет подтвердить тот же чат-бот, если у него поинтересоваться, стоит ли следовать подобной инструкции.

 

В противном случае из стороннего источника на компьютер загрузится батник, который отобразит диалоговое окно для ввода пароля на вход в систему и, заполучив его, скачает и запустит AMOS.

Этот хорошо известный троян предназначен для кражи данных из браузеров, криптокошельков, macOS Keychain, а также записанных на диск файлов. Недавно вредонос научился открывать удаленный доступ к зараженной системе — устанавливать бэкдор и обеспечивать его автозапуск при каждой загрузке ОС.

AM LiveРоссийская инфраструктура виртуальных рабочих столов: ошибки внедрения и перспективы на 2026 год. Обсудим в эфире AM Live. Регистрируйтесь »
Microsoft Defender по ошибке отметил SQL Server устаревшим
Новость
Microsoft Defender по ошибке отметил SQL Server устаревшим
Каждый пятый россиянин меняет пароль только после взлома почты
Новость
Каждый пятый россиянин меняет пароль только после взлома поч...
Kaspersky добавила в OpenTIP карту покрытия MITRE ATT&CK
Новость
Kaspersky добавила в OpenTIP карту покрытия MITRE ATT&CK

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.