Cyberthreat.id – peneliti keamanan Cleafy mengungkapkan bahwa pihaknya menemukan trojan perbankan Android baru telah ditemukan di beberapa kampanye serangan siber bernama Nexus, yang dipromosikan sebagai bagian dari langganan Malware-as-a-Service (MaaS) dan menyediakan fitur untuk melakukan serangan pengambilalihan akun (ATO).

Dikutip dari Info Security Magazine, saar menganalisis sampel Nexus tahun lalu, Cleafy menemukan kesamaan kode antara malware dan SOVA, sebuah trojan perbankan Android yang ditemukan pada pertengahan 2021. Saat itu, tim percaya Nexus adalah versi terbaru dari SOVA.

“Meskipun program MaaS baru diluncurkan dengan nama Nexus, penulis mungkin telah menggunakan kembali beberapa bagian internal SOVA untuk menulis fitur baru (dan menulis ulang beberapa yang sudah ada),” jelas Cleafy.

Baru-baru ini, penulis SOVA, yang beroperasi dengan nama samaran 'sovenok', mulai membagikan beberapa wawasan tentang Nexus dan hubungannya dengan SOVA, memanggil afiliasi yang sebelumnya menyewa SOVA karena mencuri seluruh kode sumber proyek.

Mengenai fitur yang memfasilitasi operasi ATO, Nexus menawarkan serangan overlay dan aktivitas keylogging yang dirancang untuk mencuri kredensial korban. Itu juga dapat mencuri pesan SMS (untuk mendapatkan kode otentikasi dua faktor) dan informasi dari dompet cryptocurrency. Nexus juga dilengkapi dengan mekanisme pembaruan otonom.

“Fungsi khusus secara asinkron memeriksa pembaruan di server C2-nya saat malware sedang berjalan,” kata Cleafy.

Malware ini juga menyertakan modul yang mampu mengenkripsi, mungkin ransomware. Modul ini tampaknya sedang dalam pengembangan karena adanya string debug dan kurangnya referensi penggunaan.

Secara lebih umum, Cleafy mengatakan bahwa ketiadaan modul komputasi jaringan virtual (VNC) (yang memungkinkan akses jarak jauh) saat ini membatasi jangkauan tindakan dan kemampuan Nexus. Namun, menurut tingkat infeksi yang diambil dari beberapa panel C2, Nexus adalah ancaman nyata yang mampu menginfeksi ratusan perangkat di seluruh dunia.

“Karena itu, kami tidak menutup kemungkinan akan siap pentas dalam beberapa bulan ke depan,” tim keamanan memperingatkan.