在这个网络年代,永远不嫌太谨慎
想要保护自己的网络安全越来越具挑战性,即使是信用良好的密码管理器也可能会成为黑客行为吓得牺牲品。 懒得从头开发自有侵犯程序的不肖人士甚至可以利用 MaaS (Malware-as-a-Service,恶意软件即服务) 等更便捷的解决方案来散播恶意程序感染他人设备。 安全研究人员发现了一款名为 Nexus 的 MaaS,利用木马从 Android 设备窃取用户银行资金融数据。
一款新的 Andorid 僵尸木马为你的银行金融数据而生
网络安全公司 Cleafy 利用地下论坛的样本数据分析了 Nexus 的做案手法。 该僵尸网络于去年3月首次被发现,它允许不肖人士以每月3,000美元的费用进行ATO攻击。 Nexus 会在可疑的第三方应用程序里将恶意木马与看起来正常、合法的应用程序封包在一起进入你的 Android 中。 一旦用户的设备被感染,马上会成为黑客控制的僵尸网络中的一部分。
Nexus 是一款功能强大的恶意软件,能够进行键盘记录以在各种应用程序中记录你的登录密码。 它还可以从相对安全系数高的谷歌 Authenticator应用程序中窃取SMS提供的双因素身份验证(2FA)代码和信息,所有这些行为都是在你不知情的情况下进行。 恶意软件可以窃取代码后删除 2FA SMS,在后台自动更新,并且散布其他恶意软件。 由于受害者设备是僵尸网络的一部分,因此使用 Nexus 的威胁行为者可以使用简单的 Web 面板远程监控所有机器人(受感染的设备)以及从中收集的数据。 据报道,该界面允许自定义 Nexus,并支持远程注入大约 450 个看起来合法的银行应用程序登录页面来窃取凭据。
从技术上来说,Nexus是2021年中期SOVA银行木马的变异。 尽管 Cleafy 表示前者似乎仍处于测试开发阶段,但 SOVA 的源代码已经被 Android 僵尸网络运营者窃取(黑吃黑? ),他们还利用了流行的旧款 MaaS。 在运营 Nexus 的时候利用这些被盗的源代码,然后增加了其他恶意模块,例如勒索软件等,该模块能够通过 AES 加蜜香用户锁定在设备之外(幸好这部分目前似乎处于非活动状态)。
由于这款恶意软件性质类似木马,在 Android 设备上检测它可能有难度,但你可能注意一些明显的危险信号,看到移动数据和 Wi-Fi 使用异常高峰,通常表示恶意软件与黑客的设备通讯或在后台更新。 当设备未处于活动使用状态时,异常的电池消耗也可能是恶意软件引发后台活动的明显迹象。 如果发现任何问题,建议在备份重要档案后将设备恢复原厂设置,或联系合格的网络安全专家。 为了保护你的 Android 设备免受 Nexus 等危险恶意软件的侵害,请始终从信用良好的来源(如 谷歌 Play 商店)下载应用程序。 此外,请确保你运行的是最新的可用安全更新,并且仅授予应用对其操作至关重要的授权,像图库或修图应用应该不需要访问你的通话记录。