Nexus Ancam Ratusan Cryptocurrency

Trojan Android Nexus ancam ratusan layanan cryptocurrency atau mata uang digital di seluruh dunia, dan juga mengincar banyak perbankan.

Pelaku menargetkan pelanggan dari 450 bank dan layanan cryptocurrency di seluruh dunia dengan Trojan Android berbahaya yang memiliki banyak fitur untuk membajak akun online dan berpotensi menyedot dana dari mereka.

Pembuat Trojan Android Nexus telah membuat malware tersedia untuk penjahat siber lain melalui program Malware-as-a-Service (MaaS) yang baru diumumkan.

Peneliti pertama kali melihat Nexus pada Juni 2022, saat itu mereka menilainya sebagai varian Trojan perbankan Android yang disebut Sova.

Malware berisi beberapa kode Sova dan memiliki kemampuan untuk menargetkan lebih dari 200 mobile banking, cryptocurrency, dan aplikasi keuangan lainnya.

Peneliti mengamati apa yang mereka anggap sebagai varian Sova yang tersembunyi di aplikasi palsu dengan logo yang menunjukkan bahwa itu adalah Amazon, Chrome, NFT, dan aplikasi tepercaya lainnya.

Baca juga: Penipuan Cryptocurrency Paling Umum

Salah Satu Trojan Perbankan

Nexus adalah salah satu dari beberapa trojan perbankan Android yang muncul beberapa bulan terakhir dengan alat serupa.

Awal bulan ini, misalnya, peneliti keamanan melaporkan mengamati malware Android baru yang dijuluki GoatRAT yang menargetkan sistem pembayaran otomatis seluler yang baru diperkenalkan di Brasil.

Masih tidak jelas bagaimana pelaku menghadirkan Nexus di perangkat Android, peneliti tidak memiliki akses ke detail spesifik pada vektor infeksi awal Nexus, karena penelitian terutama berfokus pada analisis perilaku dan kemampuannya.

Namun, berdasarkan pengalaman dan pengetahuan tentang malware serupa, trojan perbankan biasanya dikirim melalui skema sosial engineering seperti smishing.

Pada Januari 2023, peneliti Cleafy melihat malware, sekarang lebih berkembang, muncul di beberapa forum peretasan dengan nama Nexus.

Tak lama kemudian, pembuat malware mulai membuat malware tersedia untuk pelaku ancaman lain melalui program MaaS barunya dengan harga relatif $3.000 per bulan.

Baca juga: Safemoon Kepanjangan Tangan Penipuan Cryptocurrency

Fitur Pengambilalihan Akun

Analisis terhadap Nexus menunjukkan malware tersebut mengandung beberapa fitur untuk memungkinkan pengambilalihan akun. Diantaranya adalah:

Fungsi untuk melakukan serangan overlay
Mencatat penekanan tombol untuk mencuri kredensial pengguna.

Saat pelanggan aplikasi perbankan atau mata uang kripto, misalnya, mencoba mengakses akun mereka menggunakan perangkat Android yang disusupi.

Nexus menyajikan laman yang terlihat dan berfungsi persis seperti laman masuk untuk aplikasi sebenarnya, duplikasi yang terlihat sempurna.

Malware kemudian menggunakan fitur keylogging untuk mengambil kredensial korban seperti yang dimasukkan di halaman login.

Seperti banyak trojan perbankan, Nexus dapat mencegat pesan SMS untuk mengambil kode autentikasi dua faktor untuk mengakses akun online.

Peneliti menemukan Nexus mampu menyalahgunakan fitur Layanan Aksesibilitas Android untuk mencuri benih dan menyeimbangkan informasi dari dompet mata uang kripto, cookie dari situs web yang diminati, dan kode dua faktor dari aplikasi Authenticator Google.

Pengembang malware juga telah menambahkan fungsionalitas baru ke Nexus yang tidak ada dalam versi tahun lalu (Sova) seperti:

Fitur yang secara diam-diam menghapus pesan SMS autentikasi dua faktor yang diterima.
Ffungsi untuk menghentikan atau mengaktifkan modul untuk mencuri kode Google Authenticator 2FA.

Varian Nexus terbaru juga memiliki fungsi untuk secara berkala memeriksa server perintah-dan-kontrol (C2) untuk pembaruan dan untuk menginstal secara otomatis apa pun yang mungkin tersedia.

Modul yang tampaknya masih dalam pengembangan menunjukkan bahwa penulis mungkin menerapkan kemampuan enkripsi pada malware yang kemungkinan besar akan mengaburkan jejaknya setelah menyelesaikan pengambilalihan akun.

Baca juga: Pengelabuan Silicon Valley Bank

Masih dalam Proses

Penelitian menunjukkan bahwa Nexus berpotensi membahayakan ratusan sistem. Yang sangat penting adalah bahwa para korban tampaknya tidak terkonsentrasi di wilayah geografis tertentu, tetapi tersebar dengan baik secara global.

Meskipun banyak fungsi malware untuk mengambil alih akun keuangan online, peneliti menilai Nexus masih dalam proses. Salah satu indikasinya adalah:

Adanya string debugging
Kurangnya referensi penggunaan pada modul tertentu dari malware tersebut.
Jumlah pesan logging yang relatif tinggi dalam kode yang menunjukkan bahwa pelaku masih dalam proses pelacakan dan pelaporan semua tindakan yang dilakukan malware.

Khususnya, malware dalam avatarnya saat ini tidak menyertakan modul Virtual Network Computing atau VNC, yang akan memberi pelaku cara untuk mengambil kendali jarak jauh sepenuhnya dari perangkat yang terinfeksi Nexus.

Modul VNC memungkinkan pelaku untuk melakukan penipuan di perangkat, salah satu jenis penipuan paling berbahaya karena transfer uang dilakukan dari perangkat yang sama yang digunakan oleh korban setiap hari.

Baca lainnya: