عاد حصان طروادة SOVA المصرفي بنظام Android وقد تم تحديثه للرياضة - مع إصدار إضافي قيد التطوير يحتوي على وحدة برامج الفدية.
الباحثون في Cleafy والتي موثق
عودة ظهور SOVA ، لنفترض أن الإصدار 4 يبدو أنه يستهدف أكثر من 200 تطبيق للهاتف المحمول ، بما في ذلك التطبيقات المصرفية وتبادل / محافظ العملات المشفرة. يبدو أن إسبانيا هي الدولة الأكثر استهدافًا بالبرامج الضارة ، تليها الفلبين والولايات المتحدة.
يتم إخفاء البرنامج الضار SOVA v4 داخل تطبيقات Android المزيفة المقنَّعة بشعارات التطبيقات الشائعة بما في ذلك Chrome و Amazon. يتضمن الإصدار الأخير آلية مُعاد تشكيلها ومحسّنة لسرقة ملفات تعريف الارتباط ، والتي يمكنها الآن تحديد قائمة بخدمات Google المستهدفة والتطبيقات الأخرى. بالإضافة إلى ذلك ، يسمح التحديث للبرامج الضارة بحماية نفسها من خلال اعتراض وإعاقة محاولات الضحايا لإلغاء تثبيت التطبيق.
أيضًا في أحدث إصدارات SOVA ، يمكن للمهاجمين التحكم في أهداف محددة عبر واجهة القيادة والتحكم (C2). يؤدي هذا إلى زيادة قدرة البرامج الضارة على التكيف مع مجموعة كبيرة ومتنوعة من سيناريوهات الهجوم.
بالإضافة إلى ذلك ، لديها قدرات تسمح للمهاجمين بالتقاط لقطات شاشة وتسجيل الأوامر وتنفيذها. يمكّن هذا المهاجم من البحث عن طرق للتنقل أفقيًا إلى أنظمة أو تطبيقات أخرى قد تكون أكثر ربحًا.
ويشير التقرير إلى أن "الجزء الأكثر إثارة للاهتمام يتعلق بقدرة [حوسبة الشبكة الافتراضية]". "هذه الميزة موجودة في خارطة طريق SOVA منذ سبتمبر 2021 وهذا دليل قوي على أن [الجهات الفاعلة في التهديد] تعمل باستمرار على تحديث البرامج الضارة بميزات وإمكانيات جديدة."
برامج الفدية في الأفق
وجد فريق Cleafy أيضًا دليلًا يشير إلى أن إصدارًا إضافيًا من البرنامج الضار ، الإصدار 5 ، قيد التطوير وسيشمل وحدة برامج الفدية التي تم الإعلان عنها مسبقًا في خارطة طريق التطوير في سبتمبر 2021.
أشار باحثو Cleafy إلى أن "ميزة برامج الفدية مثيرة للاهتمام تمامًا لأنها لا تزال غير شائعة في مشهد طروادة المصرفي في Android". "إنها تستفيد بقوة من الفرصة التي نشأت في السنوات الأخيرة ، حيث أصبحت الأجهزة المحمولة لمعظم الأشخاص بمثابة التخزين المركزي للبيانات الشخصية والتجارية."
يقول كوري كلاين ، كبير مستشاري الأمن السيبراني في nVisium ، إن إضافة إمكانات برامج الفدية إلى حصان طروادة المصرفي يوفر الكثير من الجوانب الإيجابية لمجرمي الإنترنت.
ويوضح قائلاً: "لم يعد يتعين عليهم سرقة بياناتك الشخصية للوصول إلى معلوماتك المالية". "باستخدام إمكانات برامج الفدية ، يمكن للمهاجمين الآن تشفير الأجهزة المتأثرة."
ويضيف أنه مع وجود المزيد والمزيد من الأشخاص الذين يقومون بتخزين كل جانب من جوانب حياتهم تقريبًا على أجهزتهم المحمولة ، سيتمكن المهاجمون من العثور بسهولة أكبر على أهداف على استعداد للدفع للوصول إلى بياناتهم المرتجعة.
"لقد أظهر الفريق الذي يقف وراء SOVA مستوى جديدًا من التطور ،" كما يقول. "مجموعة الميزات فريدة من نوعها إلى حد ما بالنسبة لمشهد أحصنة طروادة المصرفية لنظام Android ، و SOVA هي واحدة من أكثر برامج أحصنة طروادة المصرفية المتوفرة لنظام Android ثراءً بالميزات."
ومع ذلك ، يشير إلى أن الفريق الذي يقف وراء SOVA اختار تنفيذ RetroFit لـ C2 بدلاً من كتابة الحل الخاص به.
يقول كلاين: "يمكن أن يتحدث هذا عن بعض القيود في فريق التطوير".
تحصل أحصنة طروادة المصرفية على تعزيز من القدرات المضافة
عادت أحصنة طروادة المصرفية الأخرى إلى الظهور أيضًا بميزات محدثة للمساعدة في التزحلق على الأمان السابق ، بما في ذلك Emotet ، الذي ظهر مرة أخرى في وقت سابق من هذا الصيف في شكل أكثر تقدمًا بعد أن تم إسقاطها من قبل فريق العمل الدولي المشترك في يناير 2021.
يقول جوزيف كارسون ، كبير علماء الأمن والاستشاري CISO في Delinea ، إن تحسين وتطوير أحصنة طروادة المصرفية الحالية التي تعمل بنظام Android له العديد من المزايا.
ويشير إلى أن "التحسينات المهمة على SOVA v4 و SOVA v5 تُظهر أن المهاجمين يمكنهم ببساطة توسيع الميزات الحالية مثل سرقة ملفات تعريف الارتباط ، والتي تتضمن الآن المزيد من خدمات الدفع والتطبيقات لاستغلالها". "الوحدات الجديدة مثل تلك التي تستهدف محافظ العملات المشفرة تثبت أن المهاجمين يرون العملات المشفرة هدفًا مربحًا."
ويوضح أن إضافة إمكانيات فيروسات الفدية يمكن أن يكون لها مزايا متعددة للمهاجمين ، مثل إتلاف الأدلة. وهذا يجعل من الصعب على الطب الشرعي الرقمي اكتشاف أي آثار أو إسناد للمهاجم ، ويمنح المهاجم خيارًا إضافيًا للحصول على أموال عند فشل سرقة بيانات الاعتماد أو ملفات تعريف الارتباط.
يقول كارسون: "مع اعتماد خدمات الإنترنت الجديدة على وجه التحديد في الصناعة المالية ، سيحتاج المهاجمون إلى الاستمرار في تحديث أحصنة طروادة المصرفية بوحدات جديدة تمامًا مثل أي شركة برمجيات أخرى للبقاء متوافقة مع أحدث التقنيات."
