Az Android banki trójai SOVA visszatért, és frissített képességekkel rendelkezik – a fejlesztés alatt álló további verzióval, amely ransomware modult tartalmaz.
A Cleafy kutatói, amelyek dokumentált
A SOVA újjáéledése azt mondja, hogy a 4-es verzió több mint 200 mobilalkalmazást céloz meg, beleértve a banki alkalmazásokat és a kriptováltókat/pénztárcákat. A kártevő leginkább Spanyolországot célozza meg, ezt követi a Fülöp-szigetek és az Egyesült Államok.
A SOVA v4 rosszindulatú program hamis Android-alkalmazásokban van elrejtve, népszerű alkalmazások, köztük a Chrome és az Amazon logóival álcázva. A legújabb verzió egy átdolgozott és továbbfejlesztett cookie-lopó mechanizmust tartalmaz, amely mostantól megadhatja a megcélzott Google-szolgáltatások és egyéb alkalmazások listáját. Ezenkívül a frissítés lehetővé teszi a kártevő számára, hogy megvédje magát azáltal, hogy elfogja és elhárítja az áldozatok által az alkalmazás eltávolítására tett kísérleteket.
A SOVA legújabb verzióiban is a támadók a parancs- és vezérlési (C2) felületen keresztül irányíthatják az adott célpontokat. Ez növeli a rosszindulatú program alkalmazkodóképességét számos támadási forgatókönyvhöz.
Ezenkívül olyan képességekkel rendelkezik, amelyek lehetővé teszik a támadók számára, hogy képernyőképeket készítsenek, valamint parancsokat rögzítsenek és hajtsanak végre. Ez lehetővé teszi a támadó számára, hogy megkeresse a módját, hogy oldalirányban áttérhessen más rendszerekhez vagy alkalmazásokhoz, amelyek jövedelmezőbbek lehetnek.
„A legérdekesebb rész a [virtuális hálózati számítási] képességhez kapcsolódik” – jegyzi meg a jelentés. „Ez a funkció 2021 szeptembere óta szerepel a SOVA ütemtervében, és ez erős bizonyítéka annak, hogy a [fenyegető szereplők] folyamatosan frissítik a rosszindulatú programokat új funkciókkal és képességekkel.”
Ransomware on the Horizon
A Cleafy csapata olyan bizonyítékokat is talált, amelyek azt sugallják, hogy a rosszindulatú program egy további verziója, az 5-ös verzió fejlesztés alatt áll, és tartalmazni fog egy zsarolóprogram-modult, amelyet korábban egy 2021. szeptemberi fejlesztési ütemtervben jelentettek be.
„A ransomware funkció meglehetősen érdekes, mivel még mindig nem gyakori az Android banki trójai környezetben” – jegyzik meg a Cleafy kutatói. „Erőteljesen kihasználja az elmúlt években adódó lehetőséget, mivel a legtöbb ember számára a mobileszközök a személyes és üzleti adatok központi tárolójává váltak.”
Cory Cline, az nVisium vezető kiberbiztonsági tanácsadója szerint a zsarolóvírus-képességek hozzáadása egy banki trójaihoz rengeteg előnyt jelent a kiberbűnözők számára.
„Már nem kell ellopniuk az Ön személyes adatait ahhoz, hogy hozzáférjenek az Ön pénzügyi információihoz” – magyarázza. "A ransomware képességekkel a támadók mostantól titkosíthatják az érintett eszközöket."
Hozzáteszi, hogy mivel egyre többen tárolják életük szinte minden aspektusát mobileszközükön, a támadók könnyebben találhatnak majd olyan célpontokat, akik hajlandóak fizetni azért, hogy hozzáférhessenek adataikhoz.
„A SOVA mögött álló csapat a kifinomultság új szintjét mutatta be” – mondja. "A funkciókészlet meglehetősen egyedi az Android banki trójai színtéren, és a SOVA az egyik leggazdagabb Android banki trójai."
Ugyanakkor rámutat arra, hogy a SOVA mögött álló csapat a RetroFit for C2 megvalósítása mellett döntött, nem pedig saját megoldást írt.
„Ez a fejlesztőcsapat bizonyos korlátaira utalhat” – mondja Cline.
A banki trójaiak lendületet kapnak a hozzáadott képességekből
Más banki trójaiak is újra megjelentek frissített funkciókkal, hogy segítsenek a biztonságon felülmúlni, köztük az Emotet, amely újra megjelent. a nyár elején fejlettebb formában, miután 2021 januárjában a közös nemzetközi munkacsoport leváltotta.
Joseph Carson, a Delinea vezető biztonsági tudósa és tanácsadó CISO azt mondja, hogy a meglévő Android banki trójaiak javítása és fejlesztése számos előnnyel jár.
„A SOVA v4 és SOVA v5 jelentős fejlesztései azt mutatják, hogy a támadók egyszerűen kibővíthetik a meglévő funkciókat, például a cookie-lopót, amely immár több kiaknázható fizetési szolgáltatást és alkalmazást tartalmaz” – mutat rá. „Az olyan új modulok, mint például a kriptotárcákat célzó modulok, azt mutatják, hogy a támadók jövedelmező célpontnak tekintik a kriptovalutákat.”
Kifejti, hogy a ransomware képességek hozzáadása számos előnnyel járhat a támadók számára, például a bizonyítékok megsemmisítésével. Ez megnehezíti a digitális kriminalisztika számára, hogy felfedezze a támadó nyomait vagy hozzárendelését, és további lehetőséget ad a támadó számára, hogy fizetést kapjon, ha a hitelesítő adatok vagy a cookie-k ellopása nem jár sikerrel.
„Ahogy az új internetes szolgáltatásokat kifejezetten a pénzügyi szektorban alkalmazzák – mondja Carson –, a támadóknak folyamatosan új modulokkal kell frissíteniük a banki trójai programokat, mint bármely más szoftvercégnek, hogy kompatibilisek maradjanak az újabb technológiákkal.”
