최근 온라인 환경에서 보안 문제가 점점 더 중요해지고 있습니다. 비밀번호 관리를 제공하는 상대적으로 신뢰할 수 있는 도구라도 해커 공격의 희생양이 되는 경우가 많기 때문입니다. 많은 경우 공격자는 처음부터 자체 도구를 개발하는 데 신경 쓰지 않고 다양한 형태로 배포할 수 있고 온라인 모니터링 및 데이터 평가를 목적으로 하는 MaaS 모델을 기반으로 하는 기성 솔루션을 사용합니다. 그러나 공격자의 손에 들어가면 장치를 감염시키고 자체 악성 콘텐츠를 배포하는 역할을 합니다. 보안 전문가들은 Nexus라는 MaaS의 사용을 발견했습니다. Nexus는 다음과 같은 장치에서 은행 정보를 얻는 것을 목표로 합니다. Android 트로이 목마를 사용합니다.
회사 클리피 사이버 보안을 다루는 팀은 서버와 협력하여 지하 포럼의 샘플 데이터를 사용하여 Nexus 시스템의 작동 방식을 분석했습니다. TechRadar. 이 봇넷, 즉 공격자가 제어하는 손상된 장치의 네트워크는 작년 3월에 처음 식별되었으며 클라이언트가 월 000달러의 수수료를 내고 계정 탈취의 약자인 ATO 공격을 수행할 수 있도록 허용합니다. Nexus가 시스템 기기에 침투합니다. Android 종종 의심스러운 타사 앱 스토어에서 사용할 수 있는 합법적인 앱으로 가장하고 트로이 목마 형태로 그다지 친숙하지 않은 보너스를 포장합니다. 일단 감염되면 피해자의 장치는 봇넷의 일부가 됩니다.
Nexus는 기본적으로 키보드를 감시하는 키로깅을 사용하여 다양한 애플리케이션에 대한 로그인 자격 증명을 기록할 수 있는 강력한 악성 코드입니다. 그러나 SMS를 통해 전달된 이중 인증 코드를 훔칠 수도 있으며, informace 상대적으로 안전한 Google Authenticator 애플리케이션에서. 이 모든 것은 당신이 모르는 사이에 이루어집니다. 악성코드는 코드를 훔친 후 SMS 메시지를 삭제하거나, 백그라운드에서 자동으로 업데이트하거나, 심지어 다른 악성코드를 배포할 수도 있습니다. 진정한 보안 악몽입니다.
피해자의 장치는 봇넷의 일부이기 때문에 Nexus 시스템을 사용하는 위협 행위자는 간단한 웹 패널을 사용하여 모든 봇, 감염된 장치 및 이들로부터 얻은 데이터를 원격으로 모니터링할 수 있습니다. 이 인터페이스는 시스템 사용자 정의를 허용하고 데이터를 훔치기 위해 합법적으로 보이는 약 450개의 뱅킹 애플리케이션 로그인 페이지를 원격으로 주입하는 것을 지원하는 것으로 알려졌습니다.
당신은 관심을 가질 수 있습니다
기술적으로 Nexus는 2021년 중반부터 시작된 SOVA 뱅킹 트로이 목마의 진화형입니다. Cleafy에 따르면 SOVA 소스 코드가 봇넷 운영자에 의해 도난당한 것으로 보입니다. Android, 레거시 MaaS를 임대했습니다. Nexus를 실행하는 주체는 훔친 소스 코드의 일부를 사용한 다음 AES 암호화를 사용하여 기기를 잠글 수 있는 랜섬웨어 모듈과 같은 다른 위험한 요소를 추가했습니다. 그러나 현재 활성화된 것으로 보이지는 않습니다.
따라서 Nexus는 SOVA 화이트리스트에 있는 동일한 국가의 장치를 무시하는 것을 포함하여 악명 높은 이전 버전과 명령 및 제어 프로토콜을 공유합니다. 따라서 아제르바이잔, 아르메니아, 벨로루시, 카자흐스탄, 키르기스스탄, 몰도바, 러시아, 타지키스탄, 우즈베키스탄, 우크라이나 및 인도네시아에서 작동하는 하드웨어는 도구가 설치되더라도 무시됩니다. 이들 국가의 대부분은 소련 붕괴 이후 설립된 독립국가연합(Commonwealth of Independent States)의 회원국이다.
포토 갤러리
악성 코드는 트로이 목마의 성격을 띠고 있으므로 시스템 장치에서 탐지될 수 있습니다. Android 꽤 까다롭습니다. 가능한 경고는 모바일 데이터 및 Wi-Fi 사용량이 비정상적으로 급증하는 것일 수 있습니다. 이는 일반적으로 맬웨어가 해커의 장치와 통신하거나 백그라운드에서 업데이트 중임을 나타냅니다. 또 다른 단서는 장치를 적극적으로 사용하지 않을 때 비정상적인 배터리 소모입니다. 이러한 문제가 발생하면 중요한 데이터를 백업하고 장치를 공장 설정으로 재설정하거나 자격을 갖춘 보안 전문가에게 문의하는 것이 좋습니다.
Nexus와 같은 위험한 멀웨어로부터 자신을 보호하려면 항상 Google Play 스토어와 같이 신뢰할 수 있는 소스에서만 앱을 다운로드하고, 최신 업데이트가 설치되어 있는지 확인하고, 앱을 실행하는 데 필요한 권한만 앱에 부여하세요. Cleafy는 아직 Nexus 봇넷의 규모를 공개하지 않았지만 요즘에는 예상치 못한 일을 당하는 것보다 조심해서 실수하는 것이 항상 더 좋습니다.
