Le cheval de Troie bancaire Android SOVA est de retour et doté de fonctionnalités mises à jour, avec une version supplémentaire en développement contenant un module ransomware.
Des chercheurs de Cleafy, qui documenté
La résurgence de SOVA, affirme que la version 4 semble cibler plus de 200 applications mobiles, y compris les applications bancaires et les échanges/portefeuilles cryptographiques. L'Espagne semble être le pays le plus ciblé par les logiciels malveillants, suivie par les Philippines et les États-Unis.
Le malware SOVA v4 est caché dans de fausses applications Android masquées par les logos d'applications populaires, notamment Chrome et Amazon. La dernière version inclut un mécanisme de vol de cookies remanié et amélioré, qui peut désormais spécifier une liste de services Google et d'autres applications ciblés. De plus, la mise à jour permet au malware de se protéger en interceptant et en détournant les tentatives des victimes de désinstaller l'application.
Également dans les dernières versions de SOVA, les attaquants peuvent contrôler des cibles spécifiques via l'interface de commande et de contrôle (C2). Cela augmente l'adaptabilité du malware à une grande variété de scénarios d'attaque.
De plus, il possède des capacités qui permettent aux attaquants de capturer des captures d’écran, ainsi que d’enregistrer et d’exécuter des commandes. Cela permet à un attaquant de rechercher des moyens de se déplacer latéralement vers d'autres systèmes ou applications qui pourraient s'avérer plus lucratifs.
"La partie la plus intéressante est liée à la capacité [de calcul en réseau virtuel]", note le rapport. « Cette fonctionnalité figure dans la feuille de route de SOVA depuis septembre 2021 et cela constitue une preuve solide que [les acteurs de la menace] mettent constamment à jour les logiciels malveillants avec de nouvelles fonctionnalités et capacités. »
Ransomwares à l’horizon
L'équipe Cleafy a également trouvé des preuves suggérant qu'une version supplémentaire du malware, la version 5, est en cours de développement et inclura un module de ransomware qui avait déjà été annoncé dans une feuille de route de développement de septembre 2021.
"La fonctionnalité du ransomware est assez intéressante car elle n'est pas encore courante dans le paysage des chevaux de Troie bancaires Android", notent les chercheurs de Cleafy. "Cela exploite fortement l'opportunité qui s'est présentée ces dernières années, alors que les appareils mobiles sont devenus pour la plupart des gens le stockage central des données personnelles et professionnelles."
Cory Cline, consultant senior en cybersécurité chez nVisium, affirme que l'ajout de capacités de ransomware à un cheval de Troie bancaire offre de nombreux avantages aux cybercriminels.
« Ils n'ont plus besoin de voler vos données personnelles pour accéder à vos informations financières », explique-t-il. « Grâce aux capacités des ransomwares, les attaquants peuvent désormais chiffrer les appareils concernés. »
Il ajoute qu'avec de plus en plus de personnes stockant presque tous les aspects de leur vie sur leurs appareils mobiles, les attaquants seront en mesure de trouver plus facilement des cibles prêtes à payer pour accéder à leurs données.
« L'équipe derrière SOVA a démontré un nouveau niveau de sophistication », dit-il. "L'ensemble des fonctionnalités est assez unique sur la scène des chevaux de Troie bancaires Android, et SOVA est l'un des chevaux de Troie bancaires Android les plus riches en fonctionnalités disponibles."
Cependant, il souligne que l'équipe derrière SOVA a choisi d'implémenter RetroFit pour C2 plutôt que d'écrire sa propre solution.
"Cela pourrait témoigner de certaines limites au sein de l'équipe de développement", explique Cline.
Les chevaux de Troie bancaires bénéficient de fonctionnalités supplémentaires
D'autres chevaux de Troie bancaires ont également refait surface avec des fonctionnalités mises à jour pour aider à contourner la sécurité, notamment Emotet, qui a réapparu. plus tôt cet été sous une forme plus avancée après avoir été démonté par un groupe de travail international conjoint en janvier 2021.
Joseph Carson, scientifique en chef de la sécurité et RSSI conseil chez Delinea, affirme que l'amélioration et l'évolution des chevaux de Troie bancaires Android existants présentent de nombreux avantages.
« Les améliorations significatives apportées à SOVA v4 et SOVA v5 montrent que les attaquants peuvent simplement étendre les fonctionnalités existantes telles que le voleur de cookies, qui inclut désormais davantage de services de paiement et d'applications à exploiter », souligne-t-il. « De nouveaux modules tels que ceux ciblant les cryptowallets démontrent que les attaquants considèrent les crypto-monnaies comme une cible lucrative. »
Il explique que l’ajout de fonctionnalités de ransomware peut présenter de nombreux avantages pour les attaquants, comme la destruction de preuves. Cela rend difficile pour la criminalistique numérique la découverte de traces ou d'attributions de l'attaquant, et donne à l'attaquant une option supplémentaire pour être payé lorsque le vol d'informations d'identification ou de cookies échoue.
"À mesure que de nouveaux services Internet, spécifiquement dans le secteur financier, sont adoptés", explique Carson, "les attaquants devront continuer à mettre à jour les chevaux de Troie bancaires avec de nouveaux modules, comme n'importe quel autre éditeur de logiciels, pour rester compatibles avec les technologies les plus récentes."
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
