موضوع امنیت اخیراً به طور فزاینده ای در محیط آنلاین مطرح شده است. این به این دلیل است که حتی ابزارهای نسبتاً قابل اعتماد ارائه دهنده مدیریت رمز عبور اغلب قربانی حملات هکرها می شوند. در بسیاری از موارد، مهاجمان حتی به خود زحمت نمیدهند که ابزارهای خود را از ابتدا توسعه دهند، بلکه از راهحلهای آمادهای مبتنی بر مثلاً مدل MaaS استفاده میکنند که میتواند به اشکال مختلف مستقر شود و هدف آن نظارت آنلاین و ارزیابی دادهها است. با این حال، در دست یک مهاجم، برای آلوده کردن دستگاه ها و توزیع محتوای مخرب خود استفاده می کند. کارشناسان امنیتی موفق به کشف استفاده از چنین MaaS به نام Nexus شدند که هدف آن به دست آوردن اطلاعات بانکی از دستگاههای دارای Android با استفاده از اسب تروا
شرکت شفاف که با امنیت سایبری سروکار دارد، شیوههای عملکرد سیستم Nexus را با استفاده از دادههای نمونه از انجمنهای زیرزمینی با همکاری سرور تجزیه و تحلیل کرد. TechRadar. این باتنت، یعنی شبکهای از دستگاههای در معرض خطر که سپس توسط یک مهاجم کنترل میشوند، برای اولین بار در ژوئن سال گذشته شناسایی شد و به مشتریان خود اجازه میدهد تا با هزینه ماهیانه 3 دلار آمریکا، حملات ATO، مخفف Account Takeover را انجام دهند. Nexus به دستگاه سیستم شما نفوذ می کند Android خود را به عنوان یک برنامه قانونی که ممکن است در فروشگاه های برنامه های شخص ثالث اغلب مشکوک در دسترس باشد و پاداشی نه چندان دوستانه در قالب یک اسب تروا بسته بندی کنید. پس از آلوده شدن، دستگاه قربانی به بخشی از بات نت تبدیل می شود.
Nexus یک بدافزار قدرتمند است که میتواند اعتبار ورود به برنامههای مختلف را با استفاده از keylogging، اساساً جاسوسی از صفحه کلید شما، ضبط کند. با این حال، همچنین قادر به سرقت کدهای احراز هویت دو مرحله ای ارسال شده از طریق پیامک و informace از برنامه نسبتاً ایمن Google Authenticator. همه اینها بدون اطلاع شما بدافزار میتواند پیامهای SMS را پس از سرقت کدها حذف کند، بهطور خودکار آنها را در پسزمینه بهروزرسانی کند یا حتی بدافزارهای دیگر را توزیع کند. یک کابوس امنیتی واقعی
از آنجایی که دستگاه های قربانی بخشی از بات نت هستند، عوامل تهدید با استفاده از سیستم Nexus می توانند از راه دور همه ربات ها، دستگاه های آلوده و داده های به دست آمده از آنها را با استفاده از یک پنل وب ساده نظارت کنند. این رابط ظاهراً امکان سفارشیسازی سیستم را میدهد و از تزریق از راه دور تقریباً 450 صفحه ورود به برنامه بانکی با ظاهر قانونی برای سرقت دادهها پشتیبانی میکند.
از نظر فنی، Nexus تکامل یافته تروجان بانکی SOVA از اواسط سال 2021 است. طبق گفته Cleafy، به نظر می رسد کد منبع SOVA توسط یک اپراتور بات نت دزدیده شده است. Android، که میراث MaaS را اجاره کرد. نهادی که Nexus را اجرا میکند از بخشهایی از این کد منبع دزدیده شده استفاده کرده و سپس عناصر خطرناک دیگری مانند ماژول باجافزاری که میتواند دستگاه شما را با استفاده از رمزگذاری AES قفل کند، اضافه کرده است، اگرچه به نظر نمیرسد در حال حاضر فعال باشد.
بنابراین Nexus دستورات و پروتکلهای کنترلی را با سلف بدنام خود به اشتراک میگذارد، از جمله نادیده گرفتن دستگاهها در همان کشورهایی که در لیست سفید SOVA قرار داشتند. بنابراین، سخت افزارهای فعال در آذربایجان، ارمنستان، بلاروس، قزاقستان، قرقیزستان، مولداوی، روسیه، تاجیکستان، ازبکستان، اوکراین و اندونزی حتی در صورت نصب ابزار نادیده گرفته می شوند. اکثر این کشورها عضو کشورهای مشترک المنافع هستند که پس از فروپاشی اتحاد جماهیر شوروی تأسیس شده است.
از آنجایی که بدافزار ماهیت اسب تروا دارد، می توان آن را در دستگاهی با یک سیستم شناسایی کرد Android کاملا خواستار یک هشدار احتمالی ممکن است مشاهده جهش های غیرمعمول در داده های تلفن همراه و استفاده از Wi-Fi باشد که معمولاً نشان می دهد که بدافزار در حال ارتباط با دستگاه هکر است یا در پس زمینه به روز می شود. سرنخ دیگر تخلیه غیرعادی باتری زمانی است که دستگاه به طور فعال استفاده نمی شود. اگر با هر یک از این مشکلات مواجه شدید، بهتر است به فکر تهیه نسخه پشتیبان از اطلاعات مهم خود باشید و دستگاه خود را به تنظیمات کارخانه بازنشانی کنید یا با یک متخصص امنیتی واجد شرایط تماس بگیرید.
برای محافظت از خود در برابر بدافزارهای خطرناکی مانند Nexus، همیشه برنامهها را از منابع مطمئن مانند فروشگاه Google Play دانلود کنید، مطمئن شوید که آخرین بهروزرسانیها را نصب کردهاید، و فقط به برنامهها مجوزهای لازم برای اجرای آنها را بدهید. Cleafy هنوز گستردگی باتنت Nexus را فاش نکرده است، اما این روزها همیشه بهتر است که ایمن باشید تا متاسف باشید.