एंड्रॉइड बैंकिंग ट्रोजन SOVA वापस आ गया है और अद्यतन क्षमताओं को स्पोर्ट कर रहा है - विकास में एक अतिरिक्त संस्करण के साथ जिसमें रैंसमवेयर मॉड्यूल शामिल है।
क्लीफ़ी के शोधकर्ता, जो दस्तावेज
SOVA के पुनरुत्थान का कहना है कि संस्करण 4 बैंकिंग ऐप और क्रिप्टो एक्सचेंज/वॉलेट सहित 200 से अधिक मोबाइल एप्लिकेशन को लक्षित करता प्रतीत होता है। ऐसा प्रतीत होता है कि स्पेन मैलवेयर द्वारा सबसे अधिक लक्षित देश है, इसके बाद फिलीपींस और अमेरिका का स्थान है।
SOVA v4 मैलवेयर क्रोम और अमेज़ॅन सहित लोकप्रिय ऐप के लोगो द्वारा प्रच्छन्न नकली एंड्रॉइड एप्लिकेशन के भीतर छिपा हुआ है। नवीनतम संस्करण में एक रिफैक्टेड और बेहतर कुकी-चोरी करने वाला तंत्र शामिल है, जो अब लक्षित Google सेवाओं और अन्य अनुप्रयोगों की एक सूची निर्दिष्ट कर सकता है। इसके अलावा, अपडेट मैलवेयर को ऐप को अनइंस्टॉल करने के पीड़ितों द्वारा किए गए प्रयासों को इंटरसेप्ट और डिफ्लेक्ट करके खुद को सुरक्षित रखने की अनुमति देता है।
SOVA के नवीनतम संस्करणों में भी, हमलावर कमांड-एंड-कंट्रोल (C2) इंटरफ़ेस के माध्यम से विशिष्ट लक्ष्यों को नियंत्रित कर सकते हैं। यह मैलवेयर की अनुकूलन क्षमता को विभिन्न प्रकार के हमले परिदृश्यों में बढ़ाता है।
इसके अलावा, इसमें ऐसी क्षमताएं हैं जो हमलावरों को स्क्रीनशॉट लेने और कमांड रिकॉर्ड करने और निष्पादित करने की अनुमति देती हैं। यह एक हमलावर को बाद में अन्य प्रणालियों या अनुप्रयोगों में स्थानांतरित करने के तरीकों की तलाश करने में सक्षम बनाता है जो अधिक आकर्षक हो सकते हैं।
"सबसे दिलचस्प हिस्सा [वर्चुअल नेटवर्क कंप्यूटिंग] क्षमता से संबंधित है," रिपोर्ट नोट करती है। "यह सुविधा सितंबर 2021 से SOVA रोडमैप में है और यह इस बात का पुख्ता सबूत है कि [खतरे के अभिनेता] लगातार नई सुविधाओं और क्षमताओं के साथ मैलवेयर को अपडेट कर रहे हैं।"
क्षितिज पर रैंसमवेयर
क्लीफ़ी टीम को ऐसे सबूत भी मिले जो सुझाव देते थे कि मैलवेयर का एक अतिरिक्त संस्करण, संस्करण 5, विकास में है और इसमें एक रैंसमवेयर मॉड्यूल शामिल होगा जिसे पहले सितंबर 2021 के विकास रोडमैप में घोषित किया गया था।
"रैंसमवेयर फीचर काफी दिलचस्प है क्योंकि यह अभी भी एंड्रॉइड बैंकिंग-ट्रोजन परिदृश्य में एक आम नहीं है," क्लीफी शोधकर्ताओं ने नोट किया। "यह हाल के वर्षों में पैदा हुए अवसर पर दृढ़ता से लाभ उठाता है, क्योंकि मोबाइल डिवाइस अधिकांश लोगों के लिए व्यक्तिगत और व्यावसायिक डेटा के लिए केंद्रीय भंडारण बन गए हैं।"
nVisium के वरिष्ठ साइबर सुरक्षा सलाहकार कोरी क्लाइन का कहना है कि बैंकिंग ट्रोजन में रैंसमवेयर क्षमताओं को जोड़ने से साइबर अपराधियों को काफी लाभ मिलता है।
"अब उन्हें आपकी वित्तीय जानकारी तक पहुंच प्राप्त करने के लिए आपका व्यक्तिगत डेटा चोरी करने की आवश्यकता नहीं है," वे बताते हैं। "रैंसमवेयर क्षमताओं के साथ, हमलावर अब प्रभावित उपकरणों को एन्क्रिप्ट कर सकते हैं।"
उन्होंने आगे कहा कि अधिक से अधिक लोग अपने जीवन के लगभग हर पहलू को अपने मोबाइल उपकरणों पर संग्रहीत कर रहे हैं, हमलावर अपने डेटा को वापस पाने के लिए भुगतान करने के इच्छुक लक्ष्यों को अधिक आसानी से ढूंढने में सक्षम होंगे।
"SOVA के पीछे की टीम ने नए स्तर के परिष्कार का प्रदर्शन किया है," वे कहते हैं। "सुविधा सेट एंड्रॉइड बैंकिंग ट्रोजन दृश्य के लिए काफी अद्वितीय है, और SOVA उपलब्ध सबसे अधिक सुविधा संपन्न एंड्रॉइड बैंकिंग ट्रोजन में से एक है।"
हालांकि, वह बताते हैं कि SOVA के पीछे की टीम ने C2 के लिए रेट्रोफिट को लागू करने का विकल्प चुना है, न कि अपना समाधान लिखने का।
"यह विकास टीम में कुछ सीमाओं के लिए बोल सकता है," क्लाइन कहते हैं।
बैंकिंग ट्रोजन को अतिरिक्त क्षमताओं से बढ़ावा मिलता है
अन्य बैंकिंग ट्रोजन भी अद्यतन सुविधाओं के साथ फिर से उभरे हैं, जो एमोटेट सहित पिछली सुरक्षा को स्केट करने में मदद करते हैं, जो फिर से उभरा इससे पहले गर्मियों में जनवरी 2021 में संयुक्त अंतर्राष्ट्रीय टास्क फोर्स द्वारा हटाए जाने के बाद अधिक उन्नत रूप में।
डेलिनिया में मुख्य सुरक्षा वैज्ञानिक और सलाहकार सीआईएसओ जोसेफ कार्सन का कहना है कि मौजूदा एंड्रॉइड बैंकिंग ट्रोजन को बेहतर बनाने और विकसित करने के कई फायदे हैं।
"SOVA v4 और SOVA v5 में महत्वपूर्ण सुधारों से पता चलता है कि हमलावर केवल मौजूदा सुविधाओं का विस्तार कर सकते हैं जैसे कि कुकीज चोरी करने वाला, जिसमें अब अधिक भुगतान सेवाएं और उपयोग करने के लिए एप्लिकेशन शामिल हैं," वे बताते हैं। "नए मॉड्यूल जैसे कि क्रिप्टोवॉलेट को लक्षित करने वाले यह प्रदर्शित करते हैं कि हमलावर क्रिप्टोकरेंसी को एक आकर्षक लक्ष्य के रूप में देखते हैं।"
वह बताते हैं कि रैंसमवेयर क्षमताओं को जोड़ने से हमलावरों के लिए कई फायदे हो सकते हैं, जैसे सबूत नष्ट करना। इससे डिजिटल फोरेंसिक के लिए हमलावर के किसी भी निशान या एट्रिब्यूशन को खोजना मुश्किल हो जाता है, और जब क्रेडेंशियल या कुकीज़ चोरी करना सफल नहीं होता है, तो हमलावर को भुगतान करने का एक अतिरिक्त विकल्प देता है।
"जैसा कि विशेष रूप से वित्तीय उद्योग में नई इंटरनेट सेवाओं को अपनाया जाता है," कार्सन कहते हैं, "हमलावरों को नई तकनीकों के साथ संगत रहने के लिए किसी भी अन्य सॉफ्टवेयर कंपनी की तरह ही नए मॉड्यूल के साथ बैंकिंग ट्रोजन को अपडेट करना होगा।"
