Το Android banking Trojan SOVA επιστρέφει και διαθέτει ενημερωμένες δυνατότητες — με μια πρόσθετη έκδοση σε εξέλιξη που περιέχει μια μονάδα ransomware.
Ερευνητές στο Cleafy, το οποίο τεκμηριωμένη
την αναβίωση του SOVA, λένε ότι η έκδοση 4 φαίνεται να στοχεύει περισσότερες από 200 εφαρμογές για κινητές συσκευές, συμπεριλαμβανομένων τραπεζικών εφαρμογών και ανταλλαγών/πορτοφόλων κρυπτογράφησης. Η Ισπανία φαίνεται να είναι η χώρα που στοχοποιείται περισσότερο από το κακόβουλο λογισμικό, ακολουθούμενη από τις Φιλιππίνες και τις ΗΠΑ.
Το κακόβουλο λογισμικό SOVA v4 είναι κρυμμένο μέσα σε ψεύτικες εφαρμογές Android που συγκαλύπτονται από τα λογότυπα δημοφιλών εφαρμογών, συμπεριλαμβανομένων των Chrome και Amazon. Η τελευταία έκδοση περιλαμβάνει έναν ανακατασκευασμένο και βελτιωμένο μηχανισμό κλοπής cookie, ο οποίος μπορεί πλέον να καθορίσει μια λίστα στοχευμένων υπηρεσιών Google και άλλων εφαρμογών. Επιπλέον, η ενημέρωση επιτρέπει στο κακόβουλο λογισμικό να προστατευτεί παρεμποδίζοντας και εκτρέποντας τις προσπάθειες των θυμάτων να απεγκαταστήσουν την εφαρμογή.
Επίσης, στις πιο πρόσφατες εκδόσεις του SOVA, οι εισβολείς μπορούν να ελέγχουν τους συγκεκριμένους στόχους μέσω της διεπαφής εντολής και ελέγχου (C2). Αυτό αυξάνει την προσαρμοστικότητα του κακόβουλου λογισμικού σε μια μεγάλη ποικιλία σεναρίων επίθεσης.
Επιπλέον, έχει δυνατότητες που επιτρέπουν στους εισβολείς να τραβούν στιγμιότυπα οθόνης και να καταγράφουν και να εκτελούν εντολές. Αυτό δίνει τη δυνατότητα σε έναν εισβολέα να αναζητήσει τρόπους πλευρικής μετακίνησης σε άλλα συστήματα ή εφαρμογές που μπορεί να είναι πιο προσοδοφόρες.
«Το πιο ενδιαφέρον μέρος σχετίζεται με την ικανότητα [εικονικού δικτύου υπολογιστών]», σημειώνει η έκθεση. "Αυτή η δυνατότητα βρίσκεται στον οδικό χάρτη SOVA από τον Σεπτέμβριο του 2021 και αυτό είναι ισχυρή απόδειξη ότι [οι φορείς απειλών] ενημερώνουν συνεχώς το κακόβουλο λογισμικό με νέες δυνατότητες και δυνατότητες."
Ransomware στον ορίζοντα
Η ομάδα Cleafy βρήκε επίσης στοιχεία που υποδηλώνουν ότι μια πρόσθετη έκδοση του κακόβουλου λογισμικού, η έκδοση 5, βρίσκεται σε ανάπτυξη και θα περιλαμβάνει μια ενότητα ransomware που είχε προηγουμένως ανακοινωθεί σε έναν οδικό χάρτη ανάπτυξης του Σεπτεμβρίου 2021.
"Η δυνατότητα ransomware είναι αρκετά ενδιαφέρουσα, καθώς δεν είναι ακόμα συνηθισμένη στο Android banking-trojan τοπίο", σημειώνουν οι ερευνητές του Cleafy. «Εκμεταλλεύεται έντονα την ευκαιρία που έχει προκύψει τα τελευταία χρόνια, καθώς οι φορητές συσκευές έγιναν για τους περισσότερους ανθρώπους η κεντρική αποθήκευση για προσωπικά και επιχειρηματικά δεδομένα».
Ο Cory Cline, ανώτερος σύμβουλος ασφάλειας στον κυβερνοχώρο στο nVisium, λέει ότι η προσθήκη δυνατοτήτων ransomware σε ένα τραπεζικό Trojan προσφέρει πολλά θετικά στους εγκληματίες του κυβερνοχώρου.
«Δεν χρειάζεται πλέον να κλέβουν τα προσωπικά σας δεδομένα για να έχουν πρόσβαση στις οικονομικές σας πληροφορίες», εξηγεί. "Με τις δυνατότητες ransomware, οι εισβολείς μπορούν πλέον να κρυπτογραφούν τις επηρεαζόμενες συσκευές."
Προσθέτει ότι με όλο και περισσότερους ανθρώπους να αποθηκεύουν σχεδόν κάθε πτυχή της ζωής τους στις κινητές συσκευές τους, οι εισβολείς θα μπορούν να βρίσκουν πιο εύκολα στόχους που είναι πρόθυμοι να πληρώσουν για να επιστραφούν πρόσβαση στα δεδομένα τους.
«Η ομάδα πίσω από τη SOVA έχει επιδείξει ένα νέο επίπεδο πολυπλοκότητας», λέει. "Το σύνολο χαρακτηριστικών είναι αρκετά μοναδικό στη σκηνή του Android banking Trojan και το SOVA είναι ένα από τα πιο πλούσια σε χαρακτηριστικά Android banking Trojans διαθέσιμα."
Ωστόσο, επισημαίνει ότι η ομάδα πίσω από το SOVA επέλεξε να εφαρμόσει το RetroFit για το C2 αντί να γράψει τη δική της λύση.
«Αυτό θα μπορούσε να μιλήσει για κάποιους περιορισμούς στην ομάδα ανάπτυξης», λέει ο Cline.
Τραπεζικά Trojans παίρνουν ώθηση από πρόσθετες δυνατότητες
Άλλα τραπεζικά Trojans έχουν επίσης επανεμφανιστεί με ενημερωμένα χαρακτηριστικά για να βοηθήσουν στην προστασία του παρελθόντος, συμπεριλαμβανομένου του Emotet, το οποίο επανεμφανίστηκε νωρίτερα αυτό το καλοκαίρι σε πιο προηγμένη μορφή αφού καταργήθηκε από κοινή διεθνή ειδική ομάδα τον Ιανουάριο του 2021.
Ο Joseph Carson, επικεφαλής επιστήμονας ασφαλείας και Advisory CISO στην Delinea, λέει ότι η βελτίωση και η εξέλιξη των υπαρχόντων Trojans για τραπεζικά Android έχει πολλά πλεονεκτήματα.
«Οι σημαντικές βελτιώσεις στα SOVA v4 και SOVA v5 δείχνουν ότι οι επιτιθέμενοι μπορούν απλώς να επεκτείνουν τις υπάρχουσες δυνατότητες, όπως το πρόγραμμα κλοπής cookies, το οποίο περιλαμβάνει πλέον περισσότερες υπηρεσίες πληρωμών και εφαρμογές προς εκμετάλλευση», επισημαίνει. «Νέες λειτουργικές μονάδες, όπως αυτές που στοχεύουν κρυπτονομίσματα, αποδεικνύουν ότι οι εισβολείς βλέπουν τα κρυπτονομίσματα ως επικερδή στόχο».
Εξηγεί ότι η προσθήκη δυνατοτήτων ransomware μπορεί να έχει πολλαπλά πλεονεκτήματα για τους εισβολείς, όπως η καταστροφή αποδεικτικών στοιχείων. Αυτό καθιστά δύσκολο για την ψηφιακή εγκληματολογία να ανακαλύψει τυχόν ίχνη ή απόδοση του εισβολέα και δίνει στον εισβολέα μια πρόσθετη επιλογή να πληρωθεί όταν η κλοπή διαπιστευτηρίων ή cookie δεν είναι επιτυχής.
«Καθώς υιοθετούνται νέες υπηρεσίες Διαδικτύου ειδικά στον χρηματοπιστωτικό κλάδο», λέει ο Carson, «οι εισβολείς θα πρέπει να συνεχίσουν να ενημερώνουν τα τραπεζικά Trojans με νέες ενότητες όπως κάθε άλλη εταιρεία λογισμικού για να παραμείνουν συμβατοί με νεότερες τεχνολογίες».
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
