Trojan SOVA perbankan Android kembali dan menampilkan kemampuan yang diperbarui — dengan versi tambahan dalam pengembangan yang berisi modul ransomware.
Para peneliti di Cleafy, yang didokumentasikan
kebangkitan SOVA, katakanlah bahwa versi 4 tampaknya menargetkan lebih dari 200 aplikasi seluler, termasuk aplikasi perbankan dan pertukaran/dompet kripto. Spanyol tampaknya menjadi negara yang paling ditargetkan oleh malware, diikuti oleh Filipina dan AS.
Malware SOVA v4 tersembunyi di dalam aplikasi Android palsu yang disamarkan oleh logo aplikasi populer termasuk Chrome dan Amazon. Versi terbaru menyertakan mekanisme cookie-stealer yang difaktorkan ulang dan ditingkatkan, yang sekarang dapat menentukan daftar layanan Google yang ditargetkan dan aplikasi lainnya. Selain itu, pembaruan memungkinkan malware untuk melindungi dirinya sendiri dengan mencegat dan menangkis upaya yang dilakukan oleh korban untuk mencopot pemasangan aplikasi.
Juga dalam versi SOVA terbaru, penyerang dapat mengontrol target tertentu melalui antarmuka command-and-control (C2). Ini meningkatkan kemampuan beradaptasi malware ke berbagai macam skenario serangan.
Selain itu, ia memiliki kemampuan yang memungkinkan penyerang mengambil tangkapan layar, dan merekam serta menjalankan perintah. Hal ini memungkinkan penyerang untuk mencari cara untuk berpindah secara lateral ke sistem atau aplikasi lain yang mungkin lebih menguntungkan.
“Bagian yang paling menarik terkait dengan kemampuan [komputasi jaringan virtual],” catatan laporan itu. “Fitur ini telah ada di peta jalan SOVA sejak September 2021 dan itu adalah bukti kuat bahwa [pelaku ancaman] terus memperbarui malware dengan fitur dan kemampuan baru.”
Ransomware di Horizon
Tim Cleafy juga menemukan bukti yang menunjukkan bahwa versi tambahan dari malware, versi 5, sedang dalam pengembangan dan akan menyertakan modul ransomware yang sebelumnya telah diumumkan dalam roadmap pengembangan September 2021.
“Fitur ransomware cukup menarik karena masih belum umum di lanskap trojan perbankan Android,” catat peneliti Cleafy. “Ini sangat memanfaatkan peluang yang muncul dalam beberapa tahun terakhir, karena perangkat seluler bagi kebanyakan orang menjadi penyimpanan pusat untuk data pribadi dan bisnis.”
Cory Cline, konsultan keamanan siber senior di nVisium, mengatakan bahwa menambahkan kemampuan ransomware ke Trojan perbankan menawarkan banyak keuntungan bagi penjahat siber.
“Mereka tidak lagi perlu mencuri data pribadi Anda untuk mendapatkan akses ke informasi keuangan Anda,” jelasnya. “Dengan kemampuan ransomware, penyerang sekarang dapat mengenkripsi perangkat yang terpengaruh.”
Dia menambahkan bahwa dengan semakin banyak orang yang menyimpan hampir setiap aspek kehidupan mereka di perangkat seluler mereka, penyerang akan dapat dengan lebih mudah menemukan target yang bersedia membayar untuk mendapatkan kembali akses ke data mereka.
“Tim di belakang SOVA telah menunjukkan tingkat kecanggihan baru,” katanya. “Kumpulan fitur cukup unik untuk adegan Trojan perbankan Android, dan SOVA adalah salah satu Trojan perbankan Android paling kaya fitur yang tersedia.”
Namun, ia menunjukkan bahwa tim di belakang SOVA telah memilih untuk menerapkan RetroFit untuk C2 daripada menulis solusi sendiri.
“Ini bisa berbicara tentang beberapa keterbatasan dalam tim pengembangan,” kata Klein.
Trojan Perbankan Mendapatkan Peningkatan Dari Kemampuan Tambahan
Trojan perbankan lainnya juga muncul kembali dengan fitur yang diperbarui untuk membantu keamanan masa lalu, termasuk Emotet, yang muncul kembali awal musim panas ini dalam bentuk yang lebih maju setelah diturunkan oleh gugus tugas internasional bersama pada Januari 2021.
Joseph Carson, kepala ilmuwan keamanan dan Advisory CISO di Delinea, mengatakan bahwa meningkatkan dan mengembangkan Trojan perbankan Android yang ada memiliki banyak keuntungan.
“Peningkatan signifikan pada SOVA v4 dan SOVA v5 menunjukkan bahwa penyerang dapat dengan mudah memperluas fitur yang ada seperti pencuri cookie, yang sekarang mencakup lebih banyak layanan pembayaran dan aplikasi untuk dieksploitasi,” ia menunjukkan. “Modul baru seperti yang menargetkan dompet kripto menunjukkan bahwa penyerang melihat mata uang kripto sebagai target yang menguntungkan.”
Dia menjelaskan bahwa menambahkan kemampuan ransomware dapat memiliki banyak keuntungan bagi penyerang, seperti menghancurkan bukti. Itu menyulitkan forensik digital untuk menemukan jejak atau atribusi penyerang, dan memberi penyerang opsi tambahan untuk mendapatkan bayaran saat mencuri kredensial atau cookie tidak berhasil.
“Ketika layanan Internet baru khususnya di industri keuangan diadopsi,” kata Carson, “penyerang perlu terus memperbarui Trojan perbankan dengan modul baru seperti halnya perusahaan perangkat lunak lainnya agar tetap kompatibel dengan teknologi yang lebih baru.”
