Cleafy安全研究人员最近进行的一项详细技术分析警告用户注意一个名为Nexus的新Android银行僵尸网络，该网络是由个人于2023年1月在各种地下黑客论坛上引入的。恶意软件开发者声称Nexus完全是从头开始编码的，并且可以通过恶意软件即服务(MaaS)订阅以每月3000美元的价格出租。

MaaS是网络犯罪分子用来向其他方出租或出售其恶意软件的一种商业模式，尤其是那些缺乏开发自己的恶意软件的技术知识的人。这种模型广泛用于Android银行木马的分发，因为恶意软件作者利用MaaS平台来接触更广泛的受众。

Nexus是一种银行木马，主要针对安装在Android设备上的银行应用程序。Nexus包含对来自世界各地的银行应用程序和加密货币服务执行帐户接管攻击(ATO)的所有主要功能。

它可以执行覆盖攻击、键盘记录活动和窃取SMS消息以获得双因素身份验证代码。通过滥用辅助功能服务，Nexus可以从加密钱包、Google Authenticator应用程序的2FA代码以及特定网站的cookie中窃取一些信息。

Nexus还配备了自主更新机制。当恶意软件运行时，它会异步检查其C2服务器是否有更新。如果从C2发回的值与设备上安装的值不对应，则恶意软件会启动更新过程。否则，它会忽略该值并继续其所有例行活动。

该恶意软件通过名为“Nexus Botnet”的MaaS平台分发，该平台允许攻击者根据需要定制和分发恶意软件。该平台提供各种功能，包括控制面板访问、自动更新和反分析技术，使安全研究人员更难检测和缓解威胁。

尽管其作者声称其源代码完全是从头编写的，但与SOVA（2021年年中出现的Android银行木马）的一些代码相似性表明他们可能重用了其内部的某些部分。

以别名“sovenok”运营的SOVA作者召集了一个以前租用SOVA的附属公司，以窃取该项目的整个源代码。此事件可以解释为什么部分SOVA源代码已通过多个银行木马。

Nexus还包含一个配备加密功能的模块，指向勒索软件。然而，该公司澄清说，由于调试字符串的存在和有用参考的缺乏，该模块似乎正在开发中。

“在撰写本文时，缺少 VNC 模块限制了它的操作范围和功能；然而，根据从多个C2面板检索到的感染率，Nexus是一个真正的威胁，能够感染全球数百台设备。因此，我们不能排除它将在未来几个月内准备好上台，”咨询总结道。