一款新的 Andorid 僵尸木马为你的银行金融数据而生

Toy-编辑部 • 2023年9月26日 08:59 • 投稿

想要保护自己的网络安全越来越具挑战性，即使是信用良好的密码管理器也可能会成为黑客行为吓得牺牲品。懒得从头开发自有侵犯程序的不肖人士甚至可以利用 MaaS （Malware-as-a-Service，恶意软件即服务）等更便捷的解决方案来散播恶意程序感染他人设备。安全研究人员发现了一款名为 Nexus 的 MaaS，利用木马从 Android 设备窃取用户银行资金融数据。

一款新的 Andorid 僵尸木马为你的银行金融数据而生

网络安全公司 Cleafy 利用地下论坛的样本数据分析了 Nexus 的做案手法。该僵尸网络于去年3月首次被发现，它允许不肖人士以每月3，000美元的费用进行ATO攻击。 Nexus 会在可疑的第三方应用程序里将恶意木马与看起来正常、合法的应用程序封包在一起进入你的 Android 中。一旦用户的设备被感染，马上会成为黑客控制的僵尸网络中的一部分。

Nexus 是一款功能强大的恶意软件，能够进行键盘记录以在各种应用程序中记录你的登录密码。它还可以从相对安全系数高的谷歌 Authenticator应用程序中窃取SMS提供的双因素身份验证（2FA）代码和信息，所有这些行为都是在你不知情的情况下进行。恶意软件可以窃取代码后删除 2FA SMS，在后台自动更新，并且散布其他恶意软件。由于受害者设备是僵尸网络的一部分，因此使用 Nexus 的威胁行为者可以使用简单的 Web 面板远程监控所有机器人（受感染的设备）以及从中收集的数据。据报道，该界面允许自定义 Nexus，并支持远程注入大约 450 个看起来合法的银行应用程序登录页面来窃取凭据。

从技术上来说，Nexus是2021年中期SOVA银行木马的变异。尽管 Cleafy 表示前者似乎仍处于测试开发阶段，但 SOVA 的源代码已经被 Android 僵尸网络运营者窃取（黑吃黑？），他们还利用了流行的旧款 MaaS。在运营 Nexus 的时候利用这些被盗的源代码，然后增加了其他恶意模块，例如勒索软件等，该模块能够通过 AES 加蜜香用户锁定在设备之外（幸好这部分目前似乎处于非活动状态）。

由于这款恶意软件性质类似木马，在 Android 设备上检测它可能有难度，但你可能注意一些明显的危险信号，看到移动数据和 Wi-Fi 使用异常高峰，通常表示恶意软件与黑客的设备通讯或在后台更新。当设备未处于活动使用状态时，异常的电池消耗也可能是恶意软件引发后台活动的明显迹象。如果发现任何问题，建议在备份重要档案后将设备恢复原厂设置，或联系合格的网络安全专家。为了保护你的 Android 设备免受 Nexus 等危险恶意软件的侵害，请始终从信用良好的来源（如谷歌 Play 商店）下载应用程序。此外，请确保你运行的是最新的可用安全更新，并且仅授予应用对其操作至关重要的授权，像图库或修图应用应该不需要访问你的通话记录。