Turvallisuuskysymys on viime aikoina tullut yhä tärkeämmäksi verkkoympäristössä. Tämä johtuu siitä, että jopa suhteellisen luotettavat salasananhallintatyökalut joutuvat usein hakkerihyökkäysten uhriksi. Usein hyökkääjät eivät edes vaivaudu kehittämään omia instrumenttejaan tyhjästä, vaan käyttävät esimerkiksi MaaS-malliin perustuvia valmiita ratkaisuja, joita voidaan ottaa käyttöön eri muodoissa ja joiden tarkoitus on verkkoseuranta ja tietojen arviointi. Hyökkääjän käsissä se kuitenkin saastuttaa laitteita ja levittää omaa haitallista sisältöään. Tietoturvaasiantuntijat onnistuivat löytämään tällaisen Nexus-nimisen MaaS:n käytön, jonka tarkoituksena on saada pankkitietoja laitteista, joissa on Android käyttämällä troijalaista.
Yritys Raikas kyberturvallisuuden kanssa tekemisissä analysoitiin Nexus-järjestelmän toimintatapoja maanalaisista foorumeilta saatujen näytetietojen perusteella yhteistyössä palvelimen kanssa TechRadar. Tämä bottiverkko eli vaarantuneiden laitteiden verkko, joita hyökkääjä hallitsee, tunnistettiin ensimmäisen kerran viime vuoden kesäkuussa, ja sen asiakkaat voivat suorittaa ATO-hyökkäyksiä, lyhenne sanoista Account Takeover, 3 000 dollarin kuukausimaksulla. Nexus tunkeutuu järjestelmälaitteeseen Android naamioitua lailliseksi sovellukseksi, joka saattaa olla saatavilla usein kyseenalaisissa kolmannen osapuolen sovelluskaupoissa, ja pakkaa ei-niin ystävällinen bonus Troijan hevosen muodossa. Kun uhrin laite on saanut tartunnan, siitä tulee osa bottiverkkoa.
Fotogalerie
Nexus on tehokas haittaohjelma, joka voi tallentaa kirjautumistiedot eri sovelluksiin käyttämällä näppäinlokitusta, periaatteessa vakoilee näppäimistöäsi. Se voi kuitenkin myös varastaa kaksivaiheisia todennuskoodeja, jotka toimitetaan tekstiviestillä ja informace muuten suhteellisen turvallisesta Google Authenticator -sovelluksesta. Kaikki tämä tietämättäsi. Haittaohjelmat voivat poistaa tekstiviestejä koodien varastamisen jälkeen, päivittää ne automaattisesti taustalla tai jopa levittää muita haittaohjelmia. Todellinen turvallisuus painajainen.
Koska uhrin laitteet ovat osa botnet-verkkoa, Nexus-järjestelmää käyttävät uhkatoimijat voivat tarkkailla kaikkia botteja, tartunnan saaneita laitteita ja niistä saatuja tietoja etänä yksinkertaisen verkkopaneelin avulla. Käyttöliittymän kerrotaan mahdollistavan järjestelmän mukauttamisen ja tukevan noin 450 laillisen näköisen pankkisovelluksen kirjautumissivun etäsyöttöä tietojen varastamiseksi.
Saatat olla kiinnostunut
Teknisesti Nexus on SOVA-pankkitroijalaisen evoluutio vuoden 2021 puolivälistä. Cleafyn mukaan näyttää siltä, että botnet-operaattori varasti SOVA-lähdekoodin. Android, joka vuokrasi vanhan MaaS:n. Nexusta käyttävä taho käytti osia tästä varastetusta lähdekoodista ja lisäsi sitten muita vaarallisia elementtejä, kuten kiristysohjelmamoduulin, joka pystyy lukitsemaan laitteesi AES-salauksella, vaikka tämä ei näytä olevan tällä hetkellä aktiivinen.
Siksi Nexus jakaa komennot ja ohjausprotokollat surullisen edeltäjänsä kanssa, mukaan lukien laitteiden huomiotta jättäminen samoissa maissa, jotka olivat SOVAn sallittujen luettelossa. Siten Azerbaidžanissa, Armeniassa, Valko-Venäjällä, Kazakstanissa, Kirgisiassa, Moldovassa, Venäjällä, Tadžikistanissa, Uzbekistanissa, Ukrainassa ja Indonesiassa toimivat laitteistot jätetään huomiotta, vaikka työkalu olisi asennettu. Suurin osa näistä maista on Neuvostoliiton hajoamisen jälkeen perustetun Itsenäisten valtioiden yhteisön jäseniä.
Fotogalerie
Koska haittaohjelma on luonteeltaan troijalainen, se voi havaita järjestelmälaitteessa Android aika vaativaa. Mahdollinen varoitus voi olla epätavalliset piikit mobiilidatassa ja Wi-Fi-käytössä, mikä yleensä viittaa siihen, että haittaohjelma on yhteydessä hakkerin laitteeseen tai päivittää taustalla. Toinen vihje on akun epänormaali tyhjeneminen, kun laitetta ei käytetä aktiivisesti. Jos kohtaat jonkin näistä ongelmista, kannattaa aloittaa tärkeiden tietojen varmuuskopiointi ja laitteen tehdasasetusten palauttaminen tai ottaa yhteyttä pätevään tietoturva-ammattilaiseen.
Suojautuaksesi vaarallisilta haittaohjelmilta, kuten Nexus, lataa sovelluksia aina vain luotettavista lähteistä, kuten Google Play Kaupasta, varmista, että olet asentanut uusimmat päivitykset ja anna sovelluksille vain niiden suorittamiseen tarvittavat luvat. Cleafy ei ole vielä paljastanut Nexus-botnet-verkon laajuutta, mutta nykyään on aina parempi erehtyä varovaisuuteen kuin joutua ikävälle yllätykselle.
