Bu yeni MaaS (hizmet olarak kötü amaçlı yazılım) aboneliği, siber suçlulara bankacılık verilerinizi çalabilecek bir truva atına erişim kiralama etkinliği sunduğundan, -aaS modelleri aracılığıyla kârlılığı artırmak isteyen yalnızca yasal şirketler değil.
Nexus adlı botnet, ilk olarak Ocak 2023’te, aylık 3.000 ABD Doları tutarında olmasına rağmen “sürekli geliştirme” altında olacak “çok yeni” bir proje olarak tanımlandığında bir forumda kullanıma sunuldu.
Ancak, İtalyan siber güvenlik firması temiz (yeni sekmede açılır) şimdi, Haziran 2022’den beri var olduğunu söylüyor ve 2021’in ortalarında ortaya çıkan bir Android bankacılık truva atı ile bazı kod benzerlikleri paylaşıyor.
Android bankacılık truva atı
MaaS’nin davranış kurallarının bir parçası olarak, kullanıcıların Rusya’da ve diğer BDT ülkelerinde Nexus’u kullanmaları yasaktır. Kod, Azerbaycan, Ermenistan, Beyaz Rusya, Kazakistan, Kırgızistan, Moldova, Rusya Federasyonu, Tacikistan, Özbekistan, Ukrayna ve Endonezya’yı göz ardı ettiği için bunu belirtir.
Bankacılık uygulamalarından şifreleri çalarak çalışır ve iki faktörlü kimlik doğrulama (2FA) ile güvence altına alınanlar bile mutlaka güvenli değildir çünkü kullanım kolaylığı için SMS ve Google Authenticator kodlarını açığa çıkaran belirli erişilebilirlik özelliklerine trojan tarafından erişilebilir.
Nexus, şüphelenmeyen bir kurbanın cihazına yüklendikten sonra bir C2 sunucusuna bağlanır ve siber suçluların saldırılarını gerçekleştirmeleri ve çalınan verileri almaları için bir C2 web paneli sağlar.
Önceki bir trojan ile benzerliklerine rağmen, araştırmacılar bunun farklı bir grup tarafından gerçekleştirilen yeni bir saldırıyı temsil ettiği sonucuna vardılar. Bu, emekleme dönemi ve sürekli gelişme tehdidi ile birleştiğinde, çevrimiçi bankacılık müşterilerinin hesaplarının birden çok katman tarafından korunmaya devam etmesini sağlamaları istenirken, onu göz önünde bulundurmaya değer kılıyor.