Cảnh báo: Chiếm đoạt tiền trong tài khoản qua mã độc cài cắm trên Youtube
Một mã độc ngân hàng hiện đang được giới hacker sử dụng để nhắm mục tiêu đến 450 ứng dụng tài chính, ngân hàng và tiến hành nhăm nhe tài khoản các nạn nhân.
Nexus là mã độc được cài cắm trong ứng dụng xem YouTube giả mạo có tên YouTube Vanced nhằm lấy cắp tiền từ ứng dụng ngân hàng và ví tiền điện tử của nạn nhân. YouTube Vanced là ứng dụng YouTube của bên thứ ba từng được rất nhiều người ưa chuộng nhưng hiện đã ngừng hoạt động.
Nexus được phát hiện lần đầu tiên vào tháng 6/2022. Hiện nay, nó đang được những kẻ đứng đầu quảng cáo công khai trên các diễn đàn tin tặc để tăng phạm vi bẫy các nạn nhân. Mục tiêu chính của những kẻ cầm đầu là 450 ứng dụng ngân hàng và ví tiền điện tử.
Công ty an ninh mạng Ý Cleafy cho biết, Nexus dường như đang trong giai đoạn phát triển ban đầu. Mã độc này cung cấp tất cả các tính năng chính để thực hiện các cuộc tấn công ATO (chiếm đoạt tài khoản) đối với các cổng ngân hàng và dịch vụ tiền điện tử như: đánh cắp thông tin đăng nhập và chặn SMS.
Trên nhiều diễn đàn hacker khác nhau, mã độc này được rao bán với mức phí đăng ký hàng tháng là 3.000 đô la. Chi tiết về phần mềm độc hại lần đầu tiên được Cyble ghi nhận vào đầu 3 vừa qua. Mã độc này cũng được cho là trùng lặp với một trojan ngân hàng khác có tên là SOVA.
Giống như các trojan ngân hàng khác, ứng dụng cài cắm mã độc Nexus cũng chứa các tính năng chiếm đoạt các tài khoản liên quan đến dịch vụ ngân hàng và tiền điện tử bằng cách thực hiện các cuộc tấn công giả thông báo trên màn hình và theo dõi hành trình bàn phím để đánh cắp thông tin đăng nhập của người dùng. Nó có khả năng đọc mã xác thực hai yếu tố (2FA) từ tin nhắn SMS và ứng dụng Google Authenticator thông qua việc lạm dụng các dịch vụ trợ năng của Android.
Ngoài ra, Nexus còn có khả năng xóa các tin nhắn SMS đã nhận, kích hoạt hoặc dừng mô-đun đánh cắp mã 2FA và tự cập nhật bằng cách ping định kỳ máy chủ chỉ huy và kiểm soát (C2).
