Il trojan bancario Android SOVA è tornato e presenta funzionalità aggiornate, con una versione aggiuntiva in fase di sviluppo che contiene un modulo ransomware.
Ricercatori di Cleafy, che documentata
Dopo la rinascita di SOVA, affermano che la versione 4 sembra prendere di mira più di 200 applicazioni mobili, comprese app bancarie e scambi/portafogli crittografici. La Spagna sembra essere il paese più colpito dal malware, seguita da Filippine e Stati Uniti.
Il malware SOVA v4 è nascosto all'interno di false applicazioni Android mascherate dai loghi di app popolari tra cui Chrome e Amazon. L'ultima versione include un meccanismo di cookie-stealer rifattorizzato e migliorato, che ora può specificare un elenco di servizi Google e altre applicazioni mirate. Inoltre, l'aggiornamento consente al malware di proteggersi intercettando e deviando i tentativi delle vittime di disinstallare l'app.
Anche nelle ultime versioni di SOVA, gli aggressori possono controllare obiettivi specifici tramite l'interfaccia di comando e controllo (C2). Ciò aumenta l’adattabilità del malware a un’ampia varietà di scenari di attacco.
Inoltre, ha funzionalità che consentono agli aggressori di catturare screenshot e registrare ed eseguire comandi. Ciò consente a un utente malintenzionato di cercare modi per spostarsi lateralmente verso altri sistemi o applicazioni che potrebbero essere più redditizi.
"La parte più interessante è legata alla capacità [di elaborazione di rete virtuale]", osserva il rapporto. "Questa funzionalità è presente nella roadmap di SOVA da settembre 2021 e questa è una prova evidente del fatto che [gli autori delle minacce] aggiornano costantemente il malware con nuove funzionalità e capacità."
Ransomware all'orizzonte
Il team Cleafy ha anche trovato prove che suggeriscono che una versione aggiuntiva del malware, la versione 5, è in fase di sviluppo e includerà un modulo ransomware che era stato precedentemente annunciato in una roadmap di sviluppo di settembre 2021.
"La funzionalità del ransomware è piuttosto interessante in quanto non è ancora comune nel panorama dei trojan bancari Android", osservano i ricercatori di Cleafy. “Sfrutta fortemente l’opportunità che si è presentata negli ultimi anni, poiché i dispositivi mobili sono diventati per la maggior parte delle persone lo spazio di archiviazione centrale per i dati personali e aziendali”.
Cory Cline, consulente senior per la sicurezza informatica presso nVisium, afferma che l'aggiunta di funzionalità ransomware a un trojan bancario offre numerosi vantaggi ai criminali informatici.
"Non hanno più bisogno di rubare i tuoi dati personali per avere accesso alle tue informazioni finanziarie", spiega. “Grazie alle funzionalità del ransomware, gli aggressori ora possono crittografare i dispositivi colpiti”.
Aggiunge che con sempre più persone che archiviano quasi ogni aspetto della loro vita sui propri dispositivi mobili, gli aggressori saranno in grado di trovare più facilmente obiettivi disposti a pagare per ottenere l'accesso ai propri dati restituiti.
"Il team dietro SOVA ha dimostrato un nuovo livello di sofisticazione", afferma. "Il set di funzionalità è piuttosto unico nel panorama dei trojan bancari Android e SOVA è uno dei trojan bancari Android più ricchi di funzionalità disponibili."
Tuttavia, sottolinea che il team dietro SOVA ha scelto di implementare RetroFit per C2 invece di scrivere la propria soluzione.
"Ciò potrebbe indicare alcune limitazioni nel team di sviluppo", afferma Cline.
I trojan bancari ottengono una spinta dalle funzionalità aggiuntive
Anche altri trojan bancari sono riemersi con funzionalità aggiornate per aiutare a superare la sicurezza, incluso Emotet, che è riemerso all'inizio di questa estate in una forma più avanzata dopo essere stato abbattuto dalla task force internazionale congiunta nel gennaio 2021.
Joseph Carson, capo scienziato della sicurezza e Advisory CISO presso Delinea, afferma che il miglioramento e l'evoluzione dei trojan bancari Android esistenti presenta molti vantaggi.
"I miglioramenti significativi apportati a SOVA v4 e SOVA v5 dimostrano che gli aggressori possono semplicemente espandere le funzionalità esistenti come il furto di cookie, che ora include più servizi di pagamento e applicazioni da sfruttare", sottolinea. "Nuovi moduli come quelli che prendono di mira i cryptowallet dimostrano che gli aggressori vedono le criptovalute come un obiettivo redditizio."
Spiega che l'aggiunta di funzionalità ransomware può avere molteplici vantaggi per gli aggressori, come la distruzione delle prove. Ciò rende difficile per la scientifica digitale scoprire eventuali tracce o attribuzioni dell’aggressore e offre all’aggressore un’ulteriore opzione per essere pagato quando il furto di credenziali o cookie non riesce.
“Man mano che vengono adottati nuovi servizi Internet specifici nel settore finanziario”, afferma Carson, “gli aggressori dovranno continuare ad aggiornare i trojan bancari con nuovi moduli proprio come qualsiasi altra società di software per rimanere compatibili con le nuove tecnologie”.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
