이탈리아 사이버 보안 회사인 Cleafy는 온라인 계정을 탈취하고 자금을 인출할 수 있는 Nexus Android 트로이 목마를 발견했습니다. Nexus는 전 세계 450개 은행 및 암호화폐 서비스의 고객을 대상으로 하는 것으로 밝혀졌습니다.
2022년 6월 SOVA라는 또 다른 Android 뱅킹 트로이 목마의 변종으로 처음 발견되었습니다. 그 이후로 Nexus는 타겟팅 기능을 개선했으며 서비스로서의 맬웨어 프로그램을 통해 월 $3000에 사용할 수 있습니다. 이 멀웨어는 다른 공격자가 개인 공격을 위해 이를 대여하거나 구독할 수 있도록 합니다.
에 따르면 Cleafy의 보고서, 여러 캠페인이 전 세계적으로 활성화되어 여러 위협 행위자가 이미 이 스레드를 사용하여 사기성 캠페인을 수행하고 있음을 확인합니다. Nexus는 계정 탈취를 위해 여러 기술을 사용합니다. 사용자 자격 증명을 훔치기 위한 오버레이 공격 및 로깅 키 입력.
대상 은행 또는 암호화폐 앱의 고객이 손상된 Android 기기를 사용하는 경우 Nexus는 사용자를 정품 앱 로그인 페이지로 가장한 페이지로 리디렉션하고 다음을 사용하여 피해자의 자격 증명을 가져옵니다. 임베디드 키로거.
Nexus Android 트로이 목마는 어떻게 작동합니까?
많은 뱅킹 트로이 목마와 마찬가지로 Nexus Android 트로이 목마는 SMS에서 이중 인증 코드를 가로채 온라인 계정에 액세스할 수 있습니다. 트로이 목마도 훔치는 것으로 밝혀졌습니다. 암호화폐 지갑의 시드 및 잔액 정보대상 웹사이트의 쿠키, Android의 “접근성 서비스” 기능을 사용하는 Google OTP 앱의 2단계 코드.
Cleafy는 Nexus Android Trojan이 수신된 인증 SMS 메시지를 삭제하고 모듈을 중지 또는 활성화하는 기능을 포함하여 새로운 기능을 개발했음을 발견했습니다. Google OTP 2FA 코드 도용자체 C&C 서버에서 주기적으로 업데이트를 확인하고 사용 가능한 업데이트를 자동으로 설치합니다.
계정 탈취 및 전 세계 도달 범위에 대한 다재다능함에도 불구하고 Cleafy는 Nexus Android 트로이 목마를 여전히 “진행 중인 작업”으로 지정합니다. 이는 주로 디버깅 문자열이 존재하고 맬웨어의 특정 모듈에 사용 참조가 없기 때문입니다.
코드의 로깅 메시지 수가 상대적으로 많다는 것은 맬웨어 활동에 대한 추적 및 보고가 부적절함을 나타냅니다. 또한 현재 버전의 맬웨어는 Nexus에 감염된 장치의 완전한 원격 제어 탈취를 위한 VNC(Virtual Network Computing) 모듈을 지원하지 않습니다. 그만큼 VNC 모듈을 통해 위협 행위자가 장치 내 사기를 수행할 수 있습니다.송금은 피해자가 매일 사용하는 동일한 장치에서 시작되기 때문에 가장 위험한 유형의 사기 중 하나입니다.
Cleafy가 관찰한 바와 같이 아직 개발 중인 모듈은 완전한 계정 탈취 후 주로 난독화 목적으로 암호화 기능을 가지고 있는 것으로 보입니다.
전반적으로 Nexus Android 트로이 목마는 이미 여러 사기 캠페인에 사용된 위험한 트로이 목마입니다. 이 멀웨어는 여전히 작업 중이지만 이미 계정 탈취 및 전 세계 도달 능력을 보여 모바일 뱅킹 및 암호화폐 사용자에게 심각한 위협이 되고 있습니다.
요즘에는 특히 디지털 통화의 보급이 증가함에 따라 이러한 바이러스 및 트로이 목마로부터 자신을 보호하는 것이 매우 중요합니다. 최근 인기 있는 YouTube 채널인 Linus Tech Tips가 해킹을 당했고 해커들은 Elon Musk의 사진을 사용하여 일종의 암호화 사기를 시도했습니다.
