Android-pankkitroijalainen SOVA on palannut ja sisältää päivitettyjä ominaisuuksia – kehitteillä olevalla lisäversiolla, joka sisältää kiristysohjelmamoduulin.
Cleafyn tutkijat, jotka dokumentoitu
SOVA:n uusiutuminen, sanovat, että versio 4 näyttää olevan kohdistettu yli 200 mobiilisovellukseen, mukaan lukien pankkisovellukset ja kryptopörssit/lompakot. Espanja näyttää olevan haittaohjelmien eniten kohdemaa maa, jota seuraavat Filippiinit ja Yhdysvallat.
SOVA v4 -haittaohjelma on piilotettu väärennetyissä Android-sovelluksissa, jotka on naamioitu suosittujen sovellusten, kuten Chromen ja Amazonin, logoilla. Uusin versio sisältää uudelleen muotoillun ja parannetun evästevarastomekanismin, joka voi nyt määrittää luettelon kohdistetuista Google-palveluista ja muista sovelluksista. Lisäksi päivitys antaa haittaohjelmille mahdollisuuden suojautua sieppaamalla ja torjumalla uhrien yritykset poistaa sovellus.
Myös SOVA:n uusimmissa versioissa hyökkääjät voivat hallita tiettyjä kohteita komento- ja ohjausliittymän (C2) kautta. Tämä lisää haittaohjelman sopeutumiskykyä monenlaisiin hyökkäysskenaarioihin.
Lisäksi siinä on ominaisuuksia, joiden avulla hyökkääjät voivat napata kuvakaappauksia sekä tallentaa ja suorittaa komentoja. Tämä antaa hyökkääjälle mahdollisuuden etsiä tapoja siirtyä sivusuunnassa muihin järjestelmiin tai sovelluksiin, jotka saattavat olla tuottoisampia.
"Mielenkiintoisin osa liittyy [virtuaalisen verkon laskentaan]", raportissa todetaan. "Tämä ominaisuus on ollut SOVA-suunnitelmassa syyskuusta 2021 lähtien, ja se on vahva todiste siitä, että [uhkatoimijat] päivittävät jatkuvasti haittaohjelmia uusilla ominaisuuksilla ja ominaisuuksilla."
Ransomware on the Horizon
Cleafy-tiimi löysi myös todisteita, jotka viittaavat siihen, että haittaohjelman lisäversio, versio 5, on kehitteillä ja sisältää kiristysohjelmamoduulin, joka oli aiemmin ilmoitettu syyskuun 2021 kehityssuunnitelmassa.
"Lunnasohjelmaominaisuus on varsin mielenkiintoinen, koska se ei vieläkään ole yleinen Android-pankki-troijalaismaailmassa", Cleafy-tutkijat huomauttavat. "Se hyödyntää voimakkaasti viime vuosina ilmaantunutta mahdollisuutta, sillä mobiililaitteista tuli useimmille ihmisille henkilö- ja yritystietojen keskusvarasto."
Cory Cline, nVisiumin vanhempi kyberturvakonsultti, sanoo, että kiristysohjelmaominaisuuksien lisääminen pankkitroijalaiseen tarjoaa paljon hyötyä kyberrikollisille.
"Heidän ei enää tarvitse varastaa henkilötietojasi päästäkseen käsiksi taloustietoihisi", hän selittää. "Lunnasohjelmaominaisuuksien ansiosta hyökkääjät voivat nyt salata laitteet, joihin vaikuttaa."
Hän lisää, että kun yhä useammat ihmiset tallentavat lähes kaikki elämänsä osa-alueet mobiililaitteilleen, hyökkääjät voivat löytää helpommin kohteita, jotka ovat valmiita maksamaan saadakseen pääsyn takaisin tietoihinsa.
"SOVAn takana oleva tiimi on osoittanut uuden tason hienostuneisuutta", hän sanoo. "Ominaisuussarja on melko ainutlaatuinen Android-pankkien troijalaisille, ja SOVA on yksi rikkaimmista Android-pankkitroijalaisista."
Hän huomauttaa kuitenkin, että SOVA:n takana oleva tiimi on valinnut RetroFitin käyttöön C2:lle sen sijaan, että olisi kirjoittanut oman ratkaisunsa.
"Tämä saattaa puhua kehitystiimin rajoituksista", Cline sanoo.
Pankkitroijalaiset saavat lisätehoa lisäominaisuuksista
Muut pankkitroijalaiset ovat myös nousseet uudelleen esiin päivitetyillä ominaisuuksilla, jotka auttavat ohittamaan turvallisuuden, mukaan lukien Emotet, joka ilmestyi uudelleen. aikaisemmin kesällä edistyneemmässä muodossa sen jälkeen, kun yhteinen kansainvälinen työryhmä lopetti sen tammikuussa 2021.
Joseph Carson, Delinean turvallisuustutkija ja neuvoa-antava CISO, sanoo, että olemassa olevien Android-pankkitroijalaisten parantamisella ja kehittämisellä on monia etuja.
"SOVA v4:n ja SOVA v5:n merkittävät parannukset osoittavat, että hyökkääjät voivat yksinkertaisesti laajentaa olemassa olevia ominaisuuksia, kuten evästeiden varastamista, joka sisältää nyt enemmän hyödynnettäviä maksupalveluita ja sovelluksia", hän huomauttaa. "Uudet moduulit, kuten kryptolompakoihin kohdistetut, osoittavat, että hyökkääjät pitävät kryptovaluuttoja tuottoisina kohteena."
Hän selittää, että ransomware-ominaisuuksien lisäämisellä voi olla useita etuja hyökkääjille, kuten todisteiden tuhoaminen. Tämä vaikeuttaa digitaalisten rikosteknisten tietojen havaitsemista hyökkääjän jälkiä tai tunnusmerkkejä ja antaa hyökkääjälle lisämahdollisuuden saada maksua, jos tunnistetietojen tai evästeiden varastaminen ei onnistu.
"Kun uudet Internet-palvelut erityisesti rahoitusalalla otetaan käyttöön", Carson sanoo, "hyökkääjien on jatkuvasti päivitettävä pankkitroijalaisia uusilla moduuleilla aivan kuten minkä tahansa muun ohjelmistoyrityksen pysyäkseen yhteensopivina uusien teknologioiden kanssa."
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
