Der Android-Banking-Trojaner SOVA ist zurück und bietet aktualisierte Funktionen – mit einer zusätzlichen Version in Entwicklung, die ein Ransomware-Modul enthält.
Forscher bei Cleafy, die dokumentiert
das Wiederaufleben von SOVA, sagen, dass Version 4 anscheinend auf mehr als 200 mobile Anwendungen abzielt, darunter Banking-Apps und Krypto-Börsen/Wallets. Spanien scheint das Land zu sein, das am stärksten von der Malware angegriffen wird, gefolgt von den Philippinen und den USA.
Die SOVA v4-Malware ist in gefälschten Android-Anwendungen versteckt, die durch die Logos beliebter Apps wie Chrome und Amazon getarnt sind. Die neueste Version enthält einen umgestalteten und verbesserten Cookie-Stealer-Mechanismus, der nun eine Liste gezielter Google-Dienste und anderer Anwendungen angeben kann. Darüber hinaus ermöglicht das Update der Malware, sich selbst zu schützen, indem sie Versuche von Opfern, die App zu deinstallieren, abfangen und abwehren.
Auch in den neuesten Versionen von SOVA können Angreifer die spezifischen Ziele über die Command-and-Control (C2)-Schnittstelle steuern. Dies erhöht die Anpassungsfähigkeit der Malware an verschiedenste Angriffsszenarien.
Darüber hinaus verfügt es über Funktionen, die es Angreifern ermöglichen, Screenshots zu machen und Befehle aufzuzeichnen und auszuführen. Dies ermöglicht es einem Angreifer, nach Wegen zu suchen, sich seitlich zu anderen Systemen oder Anwendungen zu bewegen, die möglicherweise lukrativer sind.
„Der interessanteste Teil bezieht sich auf die [Virtual Network Computing]-Fähigkeit“, heißt es in dem Bericht. „Diese Funktion ist seit September 2021 in der SOVA-Roadmap enthalten, und das ist ein starker Beweis dafür, dass [Bedrohungsakteure] die Malware ständig mit neuen Funktionen und Fähigkeiten aktualisieren.“
Ransomware am Horizont
Das Cleafy-Team fand auch Hinweise darauf, dass eine weitere Version der Malware, Version 5, in der Entwicklung ist und ein Ransomware-Modul enthalten wird, das zuvor in einer Entwicklungs-Roadmap vom September 2021 angekündigt worden war.
„Die Ransomware-Funktion ist ziemlich interessant, da sie in der Android-Banking-Trojaner-Landschaft immer noch nicht weit verbreitet ist“, stellen die Forscher von Cleafy fest. „Es nutzt stark die Möglichkeiten, die sich in den letzten Jahren ergeben haben, als mobile Geräte für die meisten Menschen zum zentralen Speicher für persönliche und geschäftliche Daten wurden.“
Cory Cline, Senior Cyber Security Consultant bei nVisium, sagt, dass das Hinzufügen von Ransomware-Funktionen zu einem Banking-Trojaner Cyberkriminellen viele Vorteile bietet.
„Sie müssen Ihre persönlichen Daten nicht mehr stehlen, um Zugang zu Ihren Finanzinformationen zu erhalten“, erklärt er. „Mit Ransomware-Funktionen können Angreifer jetzt betroffene Geräte verschlüsseln.“
Er fügt hinzu, dass Angreifer leichter Ziele finden können, die bereit sind, für den Zugriff auf ihre Daten zu zahlen, da immer mehr Menschen fast jeden Aspekt ihres Lebens auf ihren Mobilgeräten speichern.
„Das Team hinter SOVA hat ein neues Maß an Raffinesse demonstriert“, sagt er. „Das Feature-Set ist ziemlich einzigartig in der Android-Banking-Trojaner-Szene, und SOVA ist einer der funktionsreichsten Android-Banking-Trojaner auf dem Markt.“
Er weist jedoch darauf hin, dass sich das Team hinter SOVA dafür entschieden hat, RetroFit für C2 zu implementieren, anstatt eine eigene Lösung zu schreiben.
„Dies könnte für einige Einschränkungen im Entwicklungsteam sprechen“, sagt Cline.
Banking-Trojaner erhalten Schub durch zusätzliche Funktionen
Andere Banking-Trojaner sind ebenfalls mit aktualisierten Funktionen wieder aufgetaucht, um die Sicherheit zu umgehen, einschließlich Emotet, das wieder auftauchte früher in diesem Sommer in einer fortgeschritteneren Form, nachdem es im Januar 2021 von einer gemeinsamen internationalen Task Force abgeschaltet wurde.
Joseph Carson, Chief Security Scientist und Advisory CISO bei Delinea, sagt, dass die Verbesserung und Weiterentwicklung bestehender Android-Banking-Trojaner viele Vorteile hat.
„Die erheblichen Verbesserungen von SOVA v4 und SOVA v5 zeigen, dass Angreifer einfach vorhandene Funktionen wie den Cookies-Stealer erweitern können, der jetzt mehr Zahlungsdienste und Anwendungen zum Ausnutzen umfasst“, betont er. „Neue Module wie solche, die auf Kryptowallets abzielen, zeigen, dass Angreifer Kryptowährungen als lukratives Ziel ansehen.“
Er erklärt, dass das Hinzufügen von Ransomware-Fähigkeiten mehrere Vorteile für Angreifer haben kann, beispielsweise die Zerstörung von Beweisen. Das macht es für die digitale Forensik schwierig, Spuren oder Zuschreibungen des Angreifers zu entdecken, und gibt dem Angreifer eine zusätzliche Option, bezahlt zu werden, wenn der Diebstahl von Anmeldeinformationen oder Cookies nicht erfolgreich ist.
„Da neue Internetdienste speziell in der Finanzbranche eingeführt werden“, sagt Carson, „müssen Angreifer Banking-Trojaner mit neuen Modulen aktualisieren, genau wie jedes andere Softwareunternehmen, um mit neueren Technologien kompatibel zu bleiben.“
