来自Cleafy的网络安全公司专家警告说，一个新兴的安卓银行木马 Nexus正针对多达450个金融应用，被多个网络犯罪团在在攻击中使用。

3月初，威胁情报公司Cyble的研究人员首次分析了Nexus勒索软件。Nexus可通过恶意软件即服务（MaaS）订购，以每月3000美元的价格出租，自2023年1月起在地下论坛或通过私人渠道（如Telegram）进行推广。

然而，根据Cleafy的威胁情报与响应团队报告，早在2022年6月就检测到了第一批Nexus感染，比MaaS的公开广告早了几个月。专家认为，尽管有多个活动在野外积极使用Nexus木马，但Nexus木马仍处于发展的早期阶段。

在Cleafy发布的分析报告中写道：Nexus提供对银行门户网站和加密货币服务进行ATO攻击（账户接管）的所有主要功能，如凭证窃取和短信拦截。它还提供了一个针对450个金融应用程序的内置注入列表。

据观察，Nexus完全是从零开始编写的，但研究人员发现Nexus和SOVA银行木马之间有相似之处，后者于2021年8月出现在威胁领域。Nexus木马可以针对多个银行和加密货币，企图控制客户的账户。它依靠叠加攻击和键盘记录功能来获取客户的凭证。

该恶意软件还支持通过滥用安卓的可访问性服务，使用短信或谷歌认证器应用程序绕过双因素认证（2FA）的功能。同时，该安卓木马还支持自动更新机制。

那么它对安卓用户是否构成威胁？安全专家表示，根据从多个C2面板检索到的感染率，Nexus绝对是一个真正的威胁，它能够感染世界各地的数百台设备。因此我们不得不做好准备，防患于未然。

参考来源：

www.securityaffairs.com/143910/malware/nexus-android-banking-trojan.html