Otázka bezpečnosti je poslední dobou v online prostředí stále aktuálnější. Často se totiž obětí útoků hackerů stávají i poměrně důvěryhodné nástroje poskytující správu hesel. Útočníci se dokonce v mnoha případech ani neobtěžují s vývojem vlastních instrumentů od nuly, ale využívají hotová řešení založená například na modelu MaaS, který může být nasazen v různých podobách a jeho účelem je online monitoring a vyhodnocování dat. V rukou agresora však slouží k infikování zařízení a distribuci vlastního, škodlivého obsahu. Bezpečnostním expertům se podařilo objevit použití takového MaaS s názvem Nexus, který cílí na získávání bankovních informací ze zařízení se systémem Android pomocí trojského koně.
Firma Cleafy zabývající se kybernetickou bezpečností analyzovala modus operandi systému Nexus za pomoci vzorových dat z undergroundových fór ve spolupráci se serverem TechRadar. Tento botnet, tedy síť napadených zařízení, která jsou pak ovládaná útočníkem, byl poprvé identifikován v červnu loňského roku a svým klientům umožňuje provádět útoky typu ATO, zkratka pro Account Takeover, za měsíční poplatek 3 000 amerických dolarů. Nexus proniká do vašeho zařízení se systémem Android v přestrojení za legitimní aplikaci, která může být k dispozici v často pochybných obchodech s aplikacemi třetích stran a přibaluje ne zrovna přátelský bonus v podobě trojského koně. Po infikování se zařízení oběti stane součástí botnetu.
Nexus představuje výkonný malware, který dokáže zaznamenávat přihlašovací údaje do různých aplikací pomocí keyloggingu, v podstatě špehuje vaši klávesnici. Je ovšem schopen také ukrást kódy dvoufaktorového ověřování doručené pomocí SMS a informace z jinak poměrně bezpečné aplikace Google Authenticator. To vše bez vašeho vědomí. Malware může po krádeži kódů smazat SMS, automaticky je aktualizovat na pozadí nebo dokonce distribuovat další malware. Skutečná noční můra bezpečnosti.
Vzhledem k tomu, že zařízení oběti jsou součástí botnetu, mohou aktéři hrozeb využívající systém Nexus pomocí jednoduchého webového panelu vzdáleně sledovat všechny boty, tedy infikovaná zařízení a data z nich získaná. Rozhraní údajně umožňuje přizpůsobení systému a podporuje vzdálenou injektáž přibližně 450 legitimně vypadajících přihlašovacích stránek bankovních aplikací za účelem krádeže údajů.
Čistě technicky je Nexus evolucí bankovního trojského koně SOVA z poloviny roku 2021. Podle Cleafy to vypadá, že zdrojový kód SOVA byl ukraden provozovatelem botnetu Android, který si pronajal starší MaaS. Subjekt provozující Nexus použil části tohoto ukradeného zdrojového kódu a poté přidal další nebezpečné prvky, jako je ransomwarový modul schopný zablokovat vaše zařízení pomocí šifrování AES, ačkoli se zdá, že tento v současné době není aktivní.
Nexus proto sdílí příkazy a řídicí protokoly se svým nechvalně proslulým předchůdcem, včetně ignorování zařízení ve stejných zemích, které byly na bílé listině SOVA. Hardware provozovaný v Ázerbájdžánu, Arménii, Bělorusku, Kazachstánu, Kyrgyzstánu, Moldavsku, Rusku, Tádžikistánu, Uzbekistánu, Ukrajině a Indonésii je tedy ignorován, i když je nástroj nainstalován. Většina těchto zemí je členem Společenství nezávislých států založeném po rozpadu Sovětského svazu.
Vzhledem k tomu, že malware má povahu trojského koně, může být jeho detekce v zařízení se systémem Android poměrně náročná. Možným varováním může být pozorování neobvyklých skoků ve využívání mobilních dat a Wi-Fi, které obvykle svědčí o tom, že malware komunikuje se zařízením hackera nebo se aktualizuje na pozadí. Další vodítko představuje abnormální vybíjení baterie v době, kdy zařízení není aktivně používáno. Pokud na některý z těchto problémů narazíte, je vhodné začít uvažovat nad zálohováním důležitých dat a obnovením továrního nastavení vašeho zařízení nebo se obrátit na kvalifikovaného bezpečnostního odborníka.
Chcete-li se chránit před nebezpečným malwarem, jako je Nexus, stahujte aplikace vždy jen z důvěryhodných zdrojů, jako je obchod Google Play, ujistěte se, že máte nainstalovány nejnovější aktualizace a že aplikacím udělujete pouze ta oprávnění, která jsou nezbytná pro jejich provoz. Cleafy se zatím nepodařilo odhalit, míru rozšíření botnetu Nexus, ale v dnešní době je vždy lepší jít cestou opatrnosti, nežli následného nepříjemného překvapení.