Android-banktrojanske SOVA er tilbage og har opdaterede funktioner - med en ekstra version under udvikling, der indeholder et ransomware-modul.
Forskere ved Cleafy, som dokumenteret
genopblussen af SOVA, siger, at version 4 ser ud til at være rettet mod mere end 200 mobilapplikationer, herunder bankapps og kryptobørser/punge. Spanien ser ud til at være det land, der er mest målrettet af malwaren, efterfulgt af Filippinerne og USA.
SOVA v4-malwaren er skjult i falske Android-applikationer, skjult af logoerne fra populære apps, herunder Chrome og Amazon. Den seneste version indeholder en omdannet og forbedret cookie-tyver-mekanisme, som nu kan specificere en liste over målrettede Google-tjenester og andre applikationer. Derudover tillader opdateringen malwaren at beskytte sig selv ved at opsnappe og aflede forsøg fra ofre på at afinstallere appen.
Også i de seneste versioner af SOVA kan angribere kontrollere de specifikke mål via kommando-og-kontrol-grænsefladen (C2). Dette øger malwarens tilpasningsevne til en lang række angrebsscenarier.
Derudover har den funktioner, der gør det muligt for angribere at tage skærmbilleder og optage og udføre kommandoer. Dette gør det muligt for en angriber at lede efter måder at flytte rundt på siden til andre systemer eller programmer, der kan være mere lukrative.
"Den mest interessante del er relateret til [virtuelle netværkscomputere]-kapaciteten," bemærker rapporten. "Denne funktion har været i SOVA-køreplanen siden september 2021, og det er et stærkt bevis på, at [trusselsaktører] konstant opdaterer malwaren med nye funktioner og muligheder."
Ransomware on the Horizon
Cleafy-teamet fandt også beviser, der tydede på, at en yderligere version af malwaren, version 5, er under udvikling og vil omfatte et ransomware-modul, som tidligere var blevet annonceret i en udviklingskøreplan fra september 2021.
"Ransomware-funktionen er ret interessant, da den stadig ikke er almindelig i Android-bank-trojanske landskab," bemærker Cleafy-forskere. "Det udnytter i høj grad den mulighed, der er opstået i de seneste år, da mobile enheder for de fleste mennesker blev det centrale lager for personlige og forretningsmæssige data."
Cory Cline, senior cybersikkerhedskonsulent hos nVisium, siger, at tilføjelse af ransomware-funktioner til en banktrojaner giver masser af fordele for cyberkriminelle.
"De behøver ikke længere at stjæle dine personlige data for at få adgang til dine økonomiske oplysninger," forklarer han. "Med ransomware-kapaciteter kan angribere nu kryptere berørte enheder."
Han tilføjer, at med flere og flere mennesker, der gemmer næsten alle aspekter af deres liv på deres mobile enheder, vil angribere lettere kunne finde mål, der er villige til at betale for at få adgang til deres data returneret.
"Teamet bag SOVA har demonstreret et nyt niveau af sofistikering," siger han. "Funktionssættet er ret unikt for Android-banktrojanske scener, og SOVA er en af de mest funktionsrige Android-banktrojanere, der er tilgængelige."
Han påpeger dog, at teamet bag SOVA har valgt at implementere RetroFit til C2 i modsætning til at skrive sin egen løsning.
"Dette kan tale om nogle begrænsninger i udviklingsteamet," siger Cline.
Banktrojanske heste får boost fra tilføjede funktioner
Andre banktrojanske heste er også dukket op igen med opdaterede funktioner for at hjælpe med at skøjte forbi sikkerhed, inklusive Emotet, som genopstod tidligere på sommeren i en mere avanceret form efter at være blevet nedtaget af fælles international taskforce i januar 2021.
Joseph Carson, chefsikkerhedsforsker og rådgivende CISO hos Delinea, siger, at forbedring og udvikling af eksisterende Android-banktrojanere har mange fordele.
"De væsentlige forbedringer af SOVA v4 og SOVA v5 viser, at angribere simpelthen kan udvide eksisterende funktioner såsom cookies-tyveren, som nu inkluderer flere betalingstjenester og applikationer til at udnytte," påpeger han. "Nye moduler, såsom dem, der er rettet mod kryptowallets, viser, at angribere ser kryptovalutaer som et lukrativt mål."
Han forklarer, at tilføjelse af ransomware-funktioner kan have flere fordele for angribere, såsom at ødelægge beviser. Det gør det vanskeligt for digital efterforskning at opdage eventuelle spor eller tilskrivning af angriberen, og giver angriberen en ekstra mulighed for at blive betalt, når det ikke lykkes at stjæle legitimationsoplysninger eller cookies.
"Efterhånden som nye internettjenester specifikt i den finansielle industri bliver adopteret," siger Carson, "skal angribere blive ved med at opdatere banktrojanske heste med nye moduler ligesom enhver anden softwarevirksomhed for at forblive kompatible med nyere teknologier."
