باج‌افزار جدید به هوش داده‌های پلاتو بلاک چین بانکداری اندروید پیچیده SOVA می‌آید. جستجوی عمودی Ai.

باج افزار جدید به تروجان بانکداری اندروید پیچیده SOVA می آید

تمبر زمانی: 12 اوت 2022، 10:58 صبح

تروجان SOVA بانکداری اندروید بازگشته است و دارای قابلیت های به روز شده است – با یک نسخه اضافی در حال توسعه که حاوی یک ماژول باج افزار است.

محققان در Cleafy، که ثبت شده
با ظهور مجدد SOVA، می گویند که نسخه 4 به نظر می رسد بیش از 200 برنامه تلفن همراه، از جمله برنامه های بانکی و صرافی ها / کیف پول های رمزنگاری را هدف قرار داده است. به نظر می‌رسد اسپانیا بیشترین هدف این بدافزار بوده و پس از آن فیلیپین و ایالات متحده قرار دارند.

بدافزار SOVA v4 در برنامه های جعلی اندروید پنهان شده است که توسط لوگوی برنامه های محبوب از جمله کروم و آمازون پنهان شده است. آخرین نسخه شامل یک مکانیسم دزد کوکی بازسازی شده و بهبود یافته است که اکنون می تواند لیستی از خدمات هدف گوگل و سایر برنامه ها را مشخص کند. علاوه بر این، به‌روزرسانی به بدافزار اجازه می‌دهد تا با رهگیری و منحرف کردن تلاش‌های قربانیان برای حذف نصب برنامه، از خود محافظت کند.

همچنین در آخرین نسخه های SOVA، مهاجمان می توانند اهداف خاص را از طریق رابط فرمان و کنترل (C2) کنترل کنند. این امر سازگاری بدافزار را با انواع مختلفی از سناریوهای حمله افزایش می دهد.

علاوه بر این، قابلیت‌هایی دارد که به مهاجمان اجازه می‌دهد تا اسکرین‌شات‌ها را بگیرند و دستورات را ضبط و اجرا کنند. این به مهاجم امکان می‌دهد به دنبال راه‌هایی برای حرکت جانبی به سایر سیستم‌ها یا برنامه‌هایی باشد که ممکن است سودآورتر باشند.

این گزارش خاطرنشان می کند: «جالب ترین بخش مربوط به قابلیت [محاسبات شبکه مجازی] است. این ویژگی از سپتامبر 2021 در نقشه راه SOVA قرار گرفته است و این شواهد محکمی است مبنی بر اینکه [بازیگران تهدید] دائماً بدافزار را با ویژگی‌ها و قابلیت‌های جدید به‌روزرسانی می‌کنند.»

باج افزار در افق

تیم Cleafy همچنین شواهدی پیدا کرد که نشان می‌دهد نسخه دیگری از بدافزار، نسخه 5، در حال توسعه است و شامل یک ماژول باج‌افزار است که قبلاً در نقشه راه توسعه سپتامبر 2021 اعلام شده بود.

محققان Cleafy خاطرنشان می کنند: «ویژگی باج افزار بسیار جالب است، زیرا هنوز در چشم انداز تروجان بانکی اندروید رایج نیست. این به شدت از فرصتی که در سال‌های اخیر به وجود آمده است، استفاده می‌کند، زیرا دستگاه‌های تلفن همراه برای اکثر مردم به ذخیره‌سازی مرکزی داده‌های شخصی و تجاری تبدیل شده‌اند.»

کوری کلین، مشاور ارشد امنیت سایبری در nVisium، می‌گوید که افزودن قابلیت‌های باج‌افزار به یک تروجان بانکی، مزایای زیادی برای مجرمان سایبری دارد.

او توضیح می دهد: «دیگر نیازی به سرقت اطلاعات شخصی شما برای دسترسی به اطلاعات مالی شما ندارند. با قابلیت‌های باج‌افزار، مهاجمان اکنون می‌توانند دستگاه‌های آسیب‌دیده را رمزگذاری کنند.

او اضافه می‌کند که با افزایش روزافزون مردمی که تقریباً تمام جنبه‌های زندگی خود را در دستگاه‌های تلفن همراه خود ذخیره می‌کنند، مهاجمان می‌توانند راحت‌تر اهدافی را پیدا کنند که مایل به پرداخت هزینه برای دسترسی به داده‌هایشان هستند.

او می گوید: «تیم پشت سر SOVA سطح جدیدی از پیچیدگی را نشان داده است. "مجموعه ویژگی‌ها برای صحنه تروجان بانکداری اندروید نسبتاً منحصر به فرد است و SOVA یکی از غنی‌ترین تروجان‌های بانکداری اندرویدی موجود است."

با این حال، او اشاره می‌کند که تیم پشتیبان SOVA به جای نوشتن راه‌حل خود، اجرای RetroFit را برای C2 انتخاب کرده است.

کلاین می‌گوید: «این می‌تواند به برخی محدودیت‌ها در تیم توسعه اشاره کند.

تروجان های بانکی از قابلیت های اضافه شده تقویت می شوند

سایر تروجان های بانکی نیز با ویژگی های به روز شده برای کمک به امنیت گذشته، از جمله Emotet، که دوباره ظهور کرد، دوباره ظاهر شدند. اوایل تابستان به شکل پیشرفته‌تری پس از سرنگونی توسط کارگروه مشترک بین‌المللی در ژانویه 2021.

جوزف کارسون، دانشمند ارشد امنیت و مشاور CISO در Delinea، می‌گوید که بهبود و تکامل تروجان‌های بانکی اندروید موجود مزایای زیادی دارد.

او خاطرنشان می‌کند: «پیشرفت‌های قابل توجه SOVA v4 و SOVA v5 نشان می‌دهد که مهاجمان می‌توانند به سادگی ویژگی‌های موجود مانند دزد کوکی‌ها را گسترش دهند، که اکنون شامل خدمات پرداخت و برنامه‌های کاربردی بیشتری برای بهره‌برداری می‌شود.» ماژول‌های جدیدی مانند آنهایی که کیف پول‌های دیجیتال را هدف قرار می‌دهند، نشان می‌دهند که مهاجمان ارزهای دیجیتال را به عنوان یک هدف سودآور می‌بینند.»

او توضیح می دهد که افزودن قابلیت های باج افزار می تواند مزایای متعددی برای مهاجمان داشته باشد، مانند از بین بردن شواهد. این امر کشف هر گونه ردیابی یا انتساب مهاجم را برای پزشکی قانونی دیجیتال دشوار می کند و به مهاجم یک گزینه اضافی برای دریافت پول در صورت عدم موفقیت در سرقت اعتبارنامه یا کوکی ها می دهد.

کارسون می‌گوید: «با استفاده از سرویس‌های اینترنتی جدید به‌ویژه در صنعت مالی، مهاجمان باید مانند هر شرکت نرم‌افزاری به‌روزرسانی تروجان‌های بانکی را با ماژول‌های جدید ادامه دهند تا با فناوری‌های جدید سازگار بمانند.»

تمبر زمان:

بیشتر از تاریک خواندن