Спецпроекты

Безопасность Бизнес ИТ в банках

Продвинутое хакерское «русское» ПО, которым могут пользоваться даже чайники, массировано атакует приложения банков и криптобирж

Эксперты по безопасности обнаружили новый вредонос, предлагаемый на хакерских форумах по подписке за $3 тыс. в месяц. Судя по всему, это дериватив или переименование более раннего банковского троянца, известного как SOVA.

Совиное гнездо

Эксперты по безопасности отмечают растущее распространение банковского троянца Nexus, который уже способен атаковать 450 финансовых приложений, связанных как с фиатными валютами, так и с криптоактивами. Помимо этого троянец позволяет производить мошеннические атаки и снабжен шифровальным модулем.

Nexus предлагают на хакерских форумах в формате Malware-as-a-Service (вредонос-как-услуга) с начала 2023 г. Ежемесячная стоимость аренды, как отметили эксперты компании Cyble, составляет $3 тыс.

Между тем, существуют признаки того, что вредонос начали использовать в атаках еще в июне 2022 г., за полгода до «официального» появления на порталах даркнета.

Nexus, по-видимому, является деривативом другого вредоноса — печально известного троянца SOVA: первый использует немалую часть исходного кода второго. В августе 2022 г. эксперты Cleafy выявили вредоносную программу, которую приняли за пятую (по другой версии, четвертую) версию SOVA, но сейчас уже ясно, что это была ранняя версия Nexus.

Вредонос Nexus атакует 450 финансовых приложений, в том числе криптовалютных

На тот момент она была способна атаковать лишь 200 финансовых мобильных приложений. Впрочем, изначально SOVA могла охотиться только на 90 таких приложений.

Операторы Nexus прямо запретили его пользователям атаковать цели в Азербайджане, Армении, Белоруссии, Казахстане, Кыргызстане, Молдове, Таджикистане, Узбекистане, Индонезии, а также на Украине и в России. Обнаруженная в августе 2022 г. версия уже перестала атаковать российские ресурсы.

«Подобные ограничения типичны для разработок российских авторов вредоносного ПО, — говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. — И если Nexus — это действительно дериватив SOVA, то сомнений относительно его примерного ареала происхождения не остается.

«Швейцарский нож»

На сугубо техническом уровне это «швейцарский нож»: Nexus позволяет красть реквизиты доступа к банковским аккаунтам и криптокошелькам с помощью кейлоггинга и подмены экрана, перехватывать и удалять SMS и считывать коды двухфакторной авторизации из SMS и приложения Google Authenticator.

Эксперты компании Cleafy считают, что этот троянец находится на ранних стадиях своего развития, так что функциональность вредоноса может дополнительно расшириться со временем. Список атакуемых ресурсов также может увеличиться.

Роман Георгиев

Короткая ссылка