Android cihazları hedef alan Nexus İsimli Bankacılık Trojanı 450 Banka Uygulamasını Hedefliyor…
Nexus olarak adlandırılan gelişmekte olan bir Android bankacılığı truva atı, 450 finansal uygulamayı hedeflemek ve dolandırıcılık yapmaya çalışırken tespit edildi.
İtalyan siber güvenlik firması Leafy bu hafta yayınlanan bir raporda, “Nexus, gelişiminin ilk aşamalarında görünüyor” dedi.
“Nexus, bankacılık portallarına ve kimlik bilgilerinin çalınması ve SMS müdahalesi gibi kripto para birimi hizmetlerine karşı otomatik saldırılar (Hesap Devralma) gerçekleştirmek için tüm temel özellikleri sağlıyor dedi.”
Yılın başında çeşitli hacking forumlarında yer alan truva atı, aylık 3.000 dolarlık bir ücret karşılığında müşterisine abonelik hizmeti olarak veriliyor. Kötü amaçlı yazılımın ayrıntıları ilk olarak bu ayın başlarında Cyble tarafından belgenerek açıklandı.
Ancak, kötü amaçlı yazılımın Haziran 2022 gibi erken bir tarihte, darknet portallarındaki resmi duyurusundan en az altı ay önce gerçek siber saldırılarında kullanılmış olabileceğine dair göstergeler var.
Güvenlik araştırmacısı Rohit Bansal’a (@0xrb) göre ve kötü amaçlı yazılım yazarları tarafından kendi Telegram kanallarında onaylanan Nexus enfeksiyonlarının çoğu Türkiye’de bildirildi.
Ayrıca, kaynak kodunun bölümlerini yeniden kullanan ve aktif geliştirme aşamasında görünen bir fidye yazılımı modülü içeren OVA adlı başka bir bankacılık truva atı ile benzerliği tespit edildi.
Burada bahsetmeye değer bir nokta, Nexus’un Cleafy’nin başlangıçta Ağustos 2022’de yeni bir SOVA varyantı (v5 olarak adlandırılan) olarak sınıflandırdığı kötü amaçlı yazılımla aynı olmasıdır.
İlginç bir şekilde, Nexus yazarları, kötü amaçlı yazılımının Azerbaycan, Ermenistan, Belarus, Kazakistan, Kırgızistan, Moldova, Rusya, Tacikistan, Özbekistan, Ukrayna ve Endonezya’da kullanılmasını yasaklayan açık kurallar koymuşlardır.
Kötü amaçlı yazılım, diğer bankacılık truva atları gibi, kullanıcıların kimlik bilgilerini çalmak için yer paylaşımı saldırıları ve tuş kaydı gerçekleştirerek bankacılık ve kripto para birimi hizmetleriyle ilgili hesapları ele geçirme özellikleri içeriyor.
İlginizi çekebilecek yazımız:
İlgili Yazı: Adli Bilişim Mühendisliği Nedir ? Kariyer Rehberi |
Ayrıca, Android’in erişilebilirlik hizmetlerini kötüye kullanarak SMS mesajlarından ve Google Authenticator uygulamasından iki faktörlü kimlik doğrulama (2FA) kodlarını okuyabilir.
İşlevler listesine yapılan bazı yeni eklemeler, alınan SMS mesajlarını kaldırma, 2FA stealer modülünü etkinleştirme veya durdurma ve bir komut ve kontrol (C2) sunucusuna periyodik olarak ping atarak kendini güncelleme yeteneğidir.
Araştırmacılar, “[Hizmet Olarak Kötü Amaçlı Yazılım] modeli, suçluların müşterilerine hazır bir altyapı sağlayarak kötü amaçlı yazılımlarından daha verimli bir şekilde para kazanmalarını sağlıyor ve bu da kötü amaçlı yazılımları hedeflerine saldırmak için kullanabiliyor” dedi.
Haber Kaynağı: The Hacker News