Нов троянец за Android e насочен към 450 приложения

Picture of e-security.bg
e-security.bg
Aрхив | Зловреден код

Появилият се троянски кон за банкиране за Android, наречен Nexus, вече е възприет от няколко извършители на заплахи, за да таргетира 450 финансови приложения и да извършва измами.

„Изглежда, че Nexus е в ранен стадий на развитие“, заяви италианската фирма за киберсигурност Cleafy в доклад, публикуван тази седмица.

„Nexus предоставя всички основни функции за извършване на ATO атаки (Account Takeover) срещу банкови портали и услуги за криптовалути, като кражба на идентификационни данни и прихващане на SMS-и.“

Троянецът, който се появи в различни хакерски форуми в началото на годината, се рекламира като абонаментна услуга за клиентите си срещу месечна такса от 3000 долара. Подробности за зловредния софтуер бяха документирани за първи път от Cyble по-рано този месец.

Има обаче индикации, че зловредният софтуер може да е бил използван в реални атаки още през юни 2022 г., т.е. поне шест месеца преди официалното му обявяване в даркнет порталите.

Твърди се също, че той се припокрива с друг банков троянец, наречен SOVA, като използва повторно части от неговия изходен код и включва модул за откуп, който изглежда е в процес на активна разработка.

Тук си струва да се отбележи, че Nexus е същият зловреден софтуер, който Cleafy първоначално класифицира като нов вариант на SOVA (наречен v5) през август 2022 г.

Интересно е, че авторите на Nexus са изложили изрични правила, които забраняват използването на неговия зловреден софтуер в Азербайджан, Армения, Беларус, Казахстан, Киргизстан, Молдова, Русия, Таджикистан, Узбекистан, Украйна и Индонезия.

Зловредният софтуер, подобно на други банкови троянски коне, съдържа функции за превземане на акаунти, свързани с банкови услуги и услуги за криптовалута, като извършва атаки с наслагване и keylogging за кражба на идентификационни данни на потребителите.

Освен това той е способен да чете кодове за двуфакторно удостоверяване (2FA) от SMS съобщения и приложението Google Authenticator чрез злоупотреба с услугите за достъпност на Android.

Някои нови допълнения към списъка с функционалности са способността му да премахва получени SMS съобщения, да активира или спира модула за кражба на 2FA и да се актуализира чрез периодично пингване до сървър за управление и контрол (C2).

„Моделът [Malware-as-a-Service] позволява на престъпниците да монетизират по-ефективно своя зловреден софтуер, като предоставят готова инфраструктура на своите клиенти, които след това могат да използват зловредния софтуер, за да атакуват своите цели“, казват изследователите.

#зловреден код
The Hacker News

Подобни

Secret Blizzard превръща Kazuar в модулен P2P шпионски ботнет
18.05.2026
Russia_bot
Supply chain атака срещу npm
18.05.2026
npm
GhostLock: нова техника блокира достъпа до файлове
13.05.2026
lock
Jenkins plugin на Checkmarx разпространявал malware след supply-chain атака
12.05.2026
IMG-MC-malwareprotectiontest
MuddyWater прикрива кибершпионаж зад фалшива ransomware операция
12.05.2026
Iran-fingerprint
Злонамерена кампания използва Google Ads и Claude.ai чатове
11.05.2026
cybersecurity-6949298_1280

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy