تروجان SOVA بانکداری اندروید بازگشته است و دارای قابلیت های به روز شده است – با یک نسخه اضافی در حال توسعه که حاوی یک ماژول باج افزار است.
محققان در Cleafy، که ثبت شده
با ظهور مجدد SOVA، می گویند که نسخه 4 به نظر می رسد بیش از 200 برنامه تلفن همراه، از جمله برنامه های بانکی و صرافی ها / کیف پول های رمزنگاری را هدف قرار داده است. به نظر میرسد اسپانیا بیشترین هدف این بدافزار بوده و پس از آن فیلیپین و ایالات متحده قرار دارند.
بدافزار SOVA v4 در برنامه های جعلی اندروید پنهان شده است که توسط لوگوی برنامه های محبوب از جمله کروم و آمازون پنهان شده است. آخرین نسخه شامل یک مکانیسم دزد کوکی بازسازی شده و بهبود یافته است که اکنون می تواند لیستی از خدمات هدف گوگل و سایر برنامه ها را مشخص کند. علاوه بر این، بهروزرسانی به بدافزار اجازه میدهد تا با رهگیری و منحرف کردن تلاشهای قربانیان برای حذف نصب برنامه، از خود محافظت کند.
همچنین در آخرین نسخه های SOVA، مهاجمان می توانند اهداف خاص را از طریق رابط فرمان و کنترل (C2) کنترل کنند. این امر سازگاری بدافزار را با انواع مختلفی از سناریوهای حمله افزایش می دهد.
علاوه بر این، قابلیتهایی دارد که به مهاجمان اجازه میدهد تا اسکرینشاتها را بگیرند و دستورات را ضبط و اجرا کنند. این به مهاجم امکان میدهد به دنبال راههایی برای حرکت جانبی به سایر سیستمها یا برنامههایی باشد که ممکن است سودآورتر باشند.
این گزارش خاطرنشان می کند: «جالب ترین بخش مربوط به قابلیت [محاسبات شبکه مجازی] است. این ویژگی از سپتامبر 2021 در نقشه راه SOVA قرار گرفته است و این شواهد محکمی است مبنی بر اینکه [بازیگران تهدید] دائماً بدافزار را با ویژگیها و قابلیتهای جدید بهروزرسانی میکنند.»
باج افزار در افق
تیم Cleafy همچنین شواهدی پیدا کرد که نشان میدهد نسخه دیگری از بدافزار، نسخه 5، در حال توسعه است و شامل یک ماژول باجافزار است که قبلاً در نقشه راه توسعه سپتامبر 2021 اعلام شده بود.
محققان Cleafy خاطرنشان می کنند: «ویژگی باج افزار بسیار جالب است، زیرا هنوز در چشم انداز تروجان بانکی اندروید رایج نیست. این به شدت از فرصتی که در سالهای اخیر به وجود آمده است، استفاده میکند، زیرا دستگاههای تلفن همراه برای اکثر مردم به ذخیرهسازی مرکزی دادههای شخصی و تجاری تبدیل شدهاند.»
کوری کلین، مشاور ارشد امنیت سایبری در nVisium، میگوید که افزودن قابلیتهای باجافزار به یک تروجان بانکی، مزایای زیادی برای مجرمان سایبری دارد.
او توضیح می دهد: «دیگر نیازی به سرقت اطلاعات شخصی شما برای دسترسی به اطلاعات مالی شما ندارند. با قابلیتهای باجافزار، مهاجمان اکنون میتوانند دستگاههای آسیبدیده را رمزگذاری کنند.
او اضافه میکند که با افزایش روزافزون مردمی که تقریباً تمام جنبههای زندگی خود را در دستگاههای تلفن همراه خود ذخیره میکنند، مهاجمان میتوانند راحتتر اهدافی را پیدا کنند که مایل به پرداخت هزینه برای دسترسی به دادههایشان هستند.
او می گوید: «تیم پشت سر SOVA سطح جدیدی از پیچیدگی را نشان داده است. "مجموعه ویژگیها برای صحنه تروجان بانکداری اندروید نسبتاً منحصر به فرد است و SOVA یکی از غنیترین تروجانهای بانکداری اندرویدی موجود است."
با این حال، او اشاره میکند که تیم پشتیبان SOVA به جای نوشتن راهحل خود، اجرای RetroFit را برای C2 انتخاب کرده است.
کلاین میگوید: «این میتواند به برخی محدودیتها در تیم توسعه اشاره کند.
تروجان های بانکی از قابلیت های اضافه شده تقویت می شوند
سایر تروجان های بانکی نیز با ویژگی های به روز شده برای کمک به امنیت گذشته، از جمله Emotet، که دوباره ظهور کرد، دوباره ظاهر شدند. اوایل تابستان به شکل پیشرفتهتری پس از سرنگونی توسط کارگروه مشترک بینالمللی در ژانویه 2021.
جوزف کارسون، دانشمند ارشد امنیت و مشاور CISO در Delinea، میگوید که بهبود و تکامل تروجانهای بانکی اندروید موجود مزایای زیادی دارد.
او خاطرنشان میکند: «پیشرفتهای قابل توجه SOVA v4 و SOVA v5 نشان میدهد که مهاجمان میتوانند به سادگی ویژگیهای موجود مانند دزد کوکیها را گسترش دهند، که اکنون شامل خدمات پرداخت و برنامههای کاربردی بیشتری برای بهرهبرداری میشود.» ماژولهای جدیدی مانند آنهایی که کیف پولهای دیجیتال را هدف قرار میدهند، نشان میدهند که مهاجمان ارزهای دیجیتال را به عنوان یک هدف سودآور میبینند.»
او توضیح می دهد که افزودن قابلیت های باج افزار می تواند مزایای متعددی برای مهاجمان داشته باشد، مانند از بین بردن شواهد. این امر کشف هر گونه ردیابی یا انتساب مهاجم را برای پزشکی قانونی دیجیتال دشوار می کند و به مهاجم یک گزینه اضافی برای دریافت پول در صورت عدم موفقیت در سرقت اعتبارنامه یا کوکی ها می دهد.
کارسون میگوید: «با استفاده از سرویسهای اینترنتی جدید بهویژه در صنعت مالی، مهاجمان باید مانند هر شرکت نرمافزاری بهروزرسانی تروجانهای بانکی را با ماژولهای جدید ادامه دهند تا با فناوریهای جدید سازگار بمانند.»