SOVA הטרויאני הבנקאי של אנדרואיד חוזר ומציע יכולות מעודכנות - עם גרסה נוספת בפיתוח המכילה מודול תוכנת כופר.
חוקרים בקליפי, אשר מְתוֹעָד
ההתעוררות המחודשת של SOVA, אומרים שנראה שגרסה 4 מכוונת ליותר מ-200 יישומים ניידים, כולל אפליקציות בנקאות ובורסי קריפטו/ארנקים. נראה שספרד היא המדינה הממוקדת ביותר על ידי התוכנה הזדונית, ואחריה הפיליפינים וארה"ב.
התוכנה הזדונית SOVA v4 מוסתרת בתוך יישומי אנדרואיד מזויפים, מוסווים על ידי הלוגו של אפליקציות פופולריות כולל Chrome ואמזון. הגרסה האחרונה כוללת מנגנון גניבת עוגיות משופר ומשופר, שיכול כעת לציין רשימה של שירותי גוגל ממוקדים ויישומים אחרים. בנוסף, העדכון מאפשר לתוכנה הזדונית להגן על עצמה על ידי יירוט והסטת ניסיונות שנעשו על ידי קורבנות להסיר את ההתקנה של האפליקציה.
גם בגרסאות האחרונות של SOVA, התוקפים יכולים לשלוט על המטרות הספציפיות באמצעות ממשק הפקודה והשליטה (C2). זה מגדיל את יכולת ההסתגלות של התוכנה הזדונית למגוון גדול של תרחישי תקיפה.
בנוסף, יש לו יכולות המאפשרות לתוקפים לתפוס צילומי מסך, להקליט ולבצע פקודות. זה מאפשר לתוקף לחפש דרכים לעבור לרוחב למערכות או יישומים אחרים שעשויים להיות משתלמים יותר.
"החלק המעניין ביותר קשור ליכולת [מחשוב רשת וירטואלית]", מציין הדו"ח. "התכונה הזו נמצאת במפת הדרכים של SOVA מאז ספטמבר 2021 וזו עדות חזקה לכך ש[שחקני איום] מעדכנים כל הזמן את התוכנה הזדונית עם תכונות ויכולות חדשות."
תוכנת כופר על האופק
צוות Cleafy גם מצא ראיות המצביעות על כך שגרסה נוספת של התוכנה הזדונית, גרסה 5, נמצאת בפיתוח ותכלול מודול תוכנת כופר שהוכרז בעבר במפת דרכים לפיתוח של ספטמבר 2021.
"תכונת תוכנת הכופר היא די מעניינת מכיוון שהיא עדיין לא נפוצה בנוף הבנקאות-טרויאנים של אנדרואיד", מציינים חוקרי Cleafy. "זה ממנף מאוד את ההזדמנות שנוצרה בשנים האחרונות, שכן מכשירים ניידים הפכו עבור רוב האנשים לאחסון המרכזי של נתונים אישיים ועסקיים."
Cory Cline, יועץ אבטחת סייבר בכיר ב-nVisium, אומר שהוספת יכולות כופר לטרויאני בנקאי מציעה שפע של יתרונות לפושעי סייבר.
"הם כבר לא צריכים לגנוב את הנתונים האישיים שלך כדי לקבל גישה למידע הפיננסי שלך", הוא מסביר. "עם יכולות כופר, תוקפים יכולים כעת להצפין מכשירים מושפעים."
הוא מוסיף כי עם יותר ויותר אנשים המאחסנים כמעט כל היבט של חייהם במכשירים הניידים שלהם, התוקפים יוכלו למצוא ביתר קלות מטרות שמוכנות לשלם כדי לקבל גישה לנתונים שלהם חזרה.
"הצוות מאחורי SOVA הפגין רמה חדשה של תחכום", הוא אומר. "ערכת התכונות היא ייחודית למדי לסצנת הטרויאנים הבנקאיים של אנדרואיד, ו-SOVA הוא אחד הטרויאנים בנקאיים אנדרואיד עתירי התכונות הזמינים."
עם זאת, הוא מציין שהצוות מאחורי SOVA בחר ליישם את RetroFit עבור C2 בניגוד לכתיבת פתרון משלו.
"זה יכול לדבר על מגבלות מסוימות בצוות הפיתוח", אומר קליין.
סוסים טרויאניים בנקאיים מקבלים חיזוק מיכולות נוספות
סוסים טרויאניים בנקאיים אחרים צצו גם הם מחדש עם תכונות מעודכנות כדי לעזור להחליק מעבר לאבטחה, כולל Emotet, שצצה מחדש מוקדם יותר בקיץ בצורה מתקדמת יותר לאחר שהופל על ידי כוח משימה בינלאומי משותף בינואר 2021.
ג'וזף קרסון, מדען אבטחה ראשי ו-CISO מייעץ ב-Delinea, אומר שלשיפור ופיתוח טרויאנים בנקאיים קיימים של אנדרואיד יש יתרונות רבים.
"השיפורים המשמעותיים ל-SOVA v4 ו-SOVA v5 מראים שתוקפים יכולים פשוט להרחיב תכונות קיימות כמו גניבת העוגיות, שכולל כעת יותר שירותי תשלום ויישומים לניצול", הוא מציין. "מודולים חדשים כמו אלה המכוונים לארנקי קריפטו מוכיחים שתוקפים רואים במטבעות קריפטוגרפיים יעד משתלם".
הוא מסביר שלהוספת יכולות כופר יכולות להיות יתרונות מרובים לתוקפים, כמו השמדת ראיות. זה מקשה על זיהוי פלילי דיגיטלי לגלות עקבות או ייחוס של התוקף, ונותן לתוקף אפשרות נוספת לקבל תשלום כאשר גניבת אישורים או עוגיות לא מצליחה.
"כששירותי אינטרנט חדשים במיוחד בתעשייה הפיננסית מאומצים", אומר קרסון, "התוקפים יצטרכו להמשיך לעדכן סוסים טרויאניים בנקאיים עם מודולים חדשים בדיוק כמו כל חברת תוכנה אחרת כדי להישאר תואמים לטכנולוגיות חדשות יותר".
