Androidi pangandustroojalane SOVA on tagasi ja uuendatud võimalustega – arendamisel on täiendav versioon, mis sisaldab lunavaramoodulit.
Cleafy teadlased, mis dokumenteeritud
SOVA taassünd, ütleme, et versioon 4 näib olevat suunatud enam kui 200 mobiilirakendusele, sealhulgas pangarakendustele ja krüptovahetustele/rahakotile. Pahavara kõige enam sihitud riik näib olevat Hispaania, millele järgnevad Filipiinid ja USA.
SOVA v4 pahavara on peidetud võltsitud Androidi rakendustes, mis on varjatud populaarsete rakenduste, sealhulgas Chrome'i ja Amazoni logodega. Uusim versioon sisaldab ümbertöötatud ja täiustatud küpsiste varastamise mehhanismi, mis saab nüüd määrata sihitud Google'i teenuste ja muude rakenduste loendi. Lisaks võimaldab värskendus pahavaral end kaitsta, peatades ja tõrjudes ohvrite katseid rakendust desinstallida.
Ka SOVA uusimates versioonides saavad ründajad juhtida konkreetseid sihtmärke käsu-ja juhtimise (C2) liidese kaudu. See suurendab pahavara kohanemisvõimet paljude erinevate rünnakustsenaariumitega.
Lisaks on sellel võimalused, mis võimaldavad ründajatel ekraanipilte haarata ning käske salvestada ja täita. See võimaldab ründajal otsida viise, kuidas liikuda külgsuunas teistesse süsteemidesse või rakendustesse, mis võivad olla tulusamad.
"Kõige huvitavam osa on seotud [virtuaalse võrgu andmetöötluse] võimega," märgitakse aruandes. "See funktsioon on olnud SOVA tegevuskavas alates 2021. aasta septembrist ja see on kindel tõend selle kohta, et [ohusaanud osalejad] värskendavad pahavara pidevalt uute funktsioonide ja võimalustega."
Ransomware on the Horizon
Cleafy meeskond leidis ka tõendeid, mis viitavad sellele, et arendamisel on pahavara täiendav versioon, versioon 5, mis sisaldab lunavaramoodulit, millest oli varem teatatud 2021. aasta septembri arendusplaanis.
"Lunavara funktsioon on üsna huvitav, kuna see pole Androidi panganduse ja Trooja maastikul endiselt tavaline," märgivad Cleafy teadlased. "See kasutab tugevalt viimastel aastatel tekkinud võimalust, kuna mobiilseadmed said enamiku inimeste jaoks keskseks isiklike ja äriandmete salvestamiseks."
Cory Cline, nVisiumi küberturvalisuse vanemkonsultant, ütleb, et lunavaravõimaluste lisamine pangandustroojalasele pakub küberkurjategijatele palju kasu.
"Teie finantsteabele juurdepääsu saamiseks ei pea nad enam teie isikuandmeid varastama," selgitab ta. "Lunavaravõimaluste abil saavad ründajad nüüd mõjutatud seadmeid krüptida."
Ta lisab, et kuna üha rohkem inimesi salvestab peaaegu kõik oma elu aspektid oma mobiilseadmetesse, saavad ründajad hõlpsamini leida sihtmärke, kes on valmis oma andmetele juurdepääsu eest maksma.
"SOVA taga olev meeskond on näidanud uut keerukuse taset," ütleb ta. "Funktsioonide komplekt on Androidi panganduse troojalaste jaoks üsna ainulaadne ja SOVA on üks kõige funktsioonirikkamaid Androidi panganduse troojalasi."
Siiski juhib ta tähelepanu sellele, et SOVA meeskond on otsustanud rakendada RetroFit for C2, mitte kirjutada oma lahendust.
"See võib rääkida mõnest arendusmeeskonna piirangust, " ütleb Cline.
Pangandustroojalased saavad lisavõimalustest tõuke
Ka teised pangandustroojalased on uuesti esile kerkinud värskendatud funktsioonidega, mis aitavad turvalisusest mööda pääseda, sealhulgas Emotet, mis uuesti esile kerkis. selle suve alguses arenenumal kujul pärast seda, kui ühine rahvusvaheline töörühm 2021. aasta jaanuaris maha võttis.
Joseph Carson, Delinea turvateadlane ja nõuandev CISO, ütleb, et olemasolevate Androidi pangandustroojalaste täiustamisel ja arendamisel on palju eeliseid.
"SOVA v4 ja SOVA v5 olulised täiustused näitavad, et ründajad saavad lihtsalt laiendada olemasolevaid funktsioone, nagu küpsiste varastaja, mis sisaldab nüüd rohkem makseteenuseid ja rakendusi, mida kasutada," juhib ta tähelepanu. "Uued moodulid, nagu krüptorahadele suunatud moodulid, näitavad, et ründajad näevad krüptovaluutasid tulusa sihtmärgina."
Ta selgitab, et lunavaravõimaluste lisamisel võib ründajatele olla mitmeid eeliseid, näiteks tõendite hävitamine. See muudab digitaalsel kohtuekspertiisi jaoks ründaja jälgede või tunnuste tuvastamise keeruliseks ja annab ründajale täiendava võimaluse saada tasu, kui mandaatide või küpsiste varastamine ei õnnestu.
"Kuna uued Interneti-teenused konkreetselt finantssektoris kasutusele võetakse," ütleb Carson, "peavad ründajad jätkama pangandustroojalaste värskendamist uute moodulitega, nagu iga teine tarkvaraettevõte, et hoida ühilduvust uuemate tehnoloogiatega."
