La question de la sécurité est récemment devenue de plus en plus pertinente dans l’environnement en ligne. En effet, même les outils relativement fiables assurant la gestion des mots de passe sont souvent victimes d'attaques de pirates. Dans de nombreux cas, les attaquants ne prennent même pas la peine de développer leurs propres instruments à partir de zéro, mais utilisent des solutions toutes faites basées, par exemple, sur le modèle MaaS, qui peuvent être déployées sous diverses formes et dont le but est la surveillance et l'évaluation des données en ligne. Cependant, entre les mains d’un agresseur, il sert à infecter les appareils et à diffuser son propre contenu malveillant. Des experts en sécurité ont réussi à découvrir l'utilisation d'un tel MaaS appelé Nexus, qui vise à obtenir des informations bancaires à partir d'appareils dotés de Android en utilisant un cheval de Troie.
Société Cléafy traitant de la cybersécurité, a analysé le mode de fonctionnement du système Nexus à l'aide d'échantillons de données provenant de forums clandestins en coopération avec le serveur TechRadar. Ce botnet, c'est-à-dire un réseau d'appareils compromis qui sont ensuite contrôlés par un attaquant, a été identifié pour la première fois en juin de l'année dernière et permet à ses clients de mener des attaques ATO, abréviation de Account Takeover, moyennant des frais mensuels de 3 000 $ US. Nexus infiltre votre appareil système Android se faisant passer pour une application légitime qui peut être disponible dans des magasins d'applications tiers souvent douteux et offrant un bonus pas si convivial sous la forme d'un cheval de Troie. Une fois infecté, l'appareil de la victime fait partie du botnet.
Galerie de photos
Nexus est un puissant malware capable d'enregistrer les informations de connexion à diverses applications à l'aide de l'enregistrement au clavier, espionnant ainsi votre clavier. Cependant, il est également capable de voler les codes d'authentification à deux facteurs envoyés par SMS et informace à partir de l'application Google Authenticator, par ailleurs relativement sécurisée. Tout cela à votre insu. Les logiciels malveillants peuvent supprimer les messages SMS après avoir volé des codes, les mettre à jour automatiquement en arrière-plan ou même distribuer d'autres logiciels malveillants. Un véritable cauchemar de sécurité.
Étant donné que les appareils des victimes font partie du botnet, les acteurs malveillants utilisant le système Nexus peuvent surveiller à distance tous les robots, les appareils infectés et les données obtenues à partir de ceux-ci, à l'aide d'un simple panneau Web. L'interface permettrait la personnalisation du système et prendrait en charge l'injection à distance d'environ 450 pages de connexion d'applications bancaires d'apparence légitime pour voler des données.
Vous pourriez être intéressé par
Techniquement, Nexus est une évolution du cheval de Troie bancaire SOVA datant du milieu de l'année 2021. Selon Cleafy, il semblerait que le code source de SOVA ait été volé par un opérateur de botnet. Android, qui a loué l'ancien MaaS. L'entité qui gère Nexus a utilisé des parties de ce code source volé, puis a ajouté d'autres éléments dangereux, tels qu'un module de ransomware capable de verrouiller votre appareil à l'aide du cryptage AES, bien que celui-ci ne semble pas être actif actuellement.
Nexus partage donc des protocoles de commandes et de contrôle avec son tristement célèbre prédécesseur, notamment en ignorant les appareils des mêmes pays qui figuraient sur la liste blanche SOVA. Ainsi, le matériel fonctionnant en Azerbaïdjan, Arménie, Biélorussie, Kazakhstan, Kirghizistan, Moldavie, Russie, Tadjikistan, Ouzbékistan, Ukraine et Indonésie est ignoré même si l'outil est installé. La plupart de ces pays sont membres de la Communauté des États indépendants créée après l’effondrement de l’Union soviétique.
Galerie de photos
Étant donné que le malware est de la nature d'un cheval de Troie, sa détection peut se faire sur le périphérique système. Android assez exigeant. Un avertissement possible pourrait être la constatation de pics inhabituels d'utilisation des données mobiles et du Wi-Fi, qui indiquent généralement que le logiciel malveillant communique avec l'appareil du pirate informatique ou se met à jour en arrière-plan. Un autre indice est une décharge anormale de la batterie lorsque l’appareil n’est pas activement utilisé. Si vous rencontrez l'un de ces problèmes, c'est une bonne idée de commencer à penser à sauvegarder vos données importantes et à réinitialiser votre appareil aux paramètres d'usine ou à contacter un professionnel de la sécurité qualifié.
Pour vous protéger contre les logiciels malveillants dangereux comme Nexus, téléchargez toujours des applications uniquement à partir de sources fiables comme le Google Play Store, assurez-vous que les dernières mises à jour sont installées et accordez uniquement aux applications les autorisations nécessaires pour les exécuter. Cleafy n'a pas encore révélé l'étendue du botnet Nexus, mais de nos jours, il est toujours préférable de faire preuve de prudence plutôt que d'avoir une mauvaise surprise.
