Android バンキング型トロイの木馬 SOVA が復活し、更新された機能を備えています。ランサムウェア モジュールを含む追加バージョンが開発中です。
Cleafy の研究者は、 文書化された
SOVA の復活について、バージョン 4 は銀行アプリや仮想通貨取引所/ウォレットを含む 200 以上のモバイル アプリケーションをターゲットにしているように見えると言います。 マルウェアの標的となった国はスペインが最も多いようで、フィリピンと米国がそれに続きます。
SOVA v4 マルウェアは、Chrome や Amazon などの人気アプリのロゴを装った偽の Android アプリに隠されています。 最新バージョンには、リファクタリングおよび改善された Cookie スティーラー メカニズムが含まれており、対象となる Google サービスおよびその他のアプリケーションのリストを指定できるようになりました。 さらに、この更新により、マルウェアは、被害者がアプリをアンインストールしようとする試みを傍受してそらすことで、自身を保護することができます。
また、SOVA の最新バージョンでは、攻撃者はコマンド アンド コントロール (C2) インターフェイスを介して特定のターゲットを制御できます。 これにより、さまざまな攻撃シナリオに対するマルウェアの適応性が向上します。
さらに、攻撃者がスクリーンショットを取得し、コマンドを記録および実行できる機能を備えています。 これにより、攻撃者は、より収益性の高い他のシステムやアプリケーションに横方向に移動する方法を探すことができます。
「最も興味深い部分は、[仮想ネットワーク コンピューティング] 機能に関連しています」とレポートは指摘しています。 「この機能は 2021 年 XNUMX 月から SOVA ロードマップに含まれていました。これは、[脅威アクター] がマルウェアを常に新しい機能で更新していることを示す強力な証拠です。」
地平線上のランサムウェア
Clafy チームは、マルウェアの追加バージョンであるバージョン 5 が開発中であり、2021 年 XNUMX 月の開発ロードマップで以前に発表されたランサムウェア モジュールが含まれることを示唆する証拠も発見しました。
「ランサムウェア機能は、Android バンキング トロイの木馬の世界ではまだ一般的ではないため、非常に興味深いものです」と Cleafy の研究者は述べています。 「これは、ほとんどの人にとってモバイル デバイスが個人データとビジネス データの中央ストレージになったため、近年生じた機会を強力に活用しています。」
nVisium のシニア サイバー セキュリティ コンサルタントである Cory Cline 氏は、バンキング型トロイの木馬にランサムウェア機能を追加することで、サイバー犯罪者に多くの利点がもたらされると述べています。
「金融情報にアクセスするために個人データを盗む必要はもうありません」と彼は説明します。 「ランサムウェア機能により、攻撃者は影響を受けるデバイスを暗号化できるようになりました。」
彼は、生活のほぼすべての側面をモバイル デバイスに保存する人がますます増えているため、攻撃者は、自分のデータにアクセスするためにお金を払っても構わないと思っているターゲットをより簡単に見つけることができるようになると付け加えています。
「SOVA の背後にあるチームは、新しいレベルの洗練を実証しました」と彼は言います。 「この機能セットは、Android バンキング型トロイの木馬シーンにかなりユニークであり、SOVA は利用可能な最も機能豊富な Android バンキング型トロイの木馬の XNUMX つです。」
ただし、SOVA の背後にあるチームは、独自のソリューションを作成するのではなく、C2 に RetroFit を実装することを選択したと彼は指摘します。
「これは、開発チームの限界を物語る可能性があります」と Cline 氏は言います。
バンキング型トロイの木馬は、追加された機能によって強化されます
他のバンキング型トロイの木馬も、再出現した Emotet など、過去のセキュリティを回避するのに役立つ更新された機能を備えて再出現しています。 この夏の初め 2021 年 XNUMX 月に合同国際タスクフォースによって削除された後、より高度な形で。
Delinea のチーフ セキュリティ サイエンティスト兼アドバイザリー CISO である Joseph Carson 氏は、既存の Android バンキング型トロイの木馬を改善および進化させることには多くの利点があると述べています。
「SOVA v4 と SOVA v5 の大幅な改善は、攻撃者が Cookie スティーラーなどの既存の機能を簡単に拡張できることを示しています。これには、悪用できる支払いサービスやアプリケーションがさらに含まれるようになりました」と彼は指摘します。 「クリプトウォレットを標的とするような新しいモジュールは、攻撃者が暗号通貨を有利な標的と見なしていることを示しています。」
彼は、ランサムウェア機能を追加することで、証拠の破壊など、攻撃者にとって複数の利点が得られる可能性があると説明しています。 これにより、デジタル フォレンジックが攻撃者の痕跡や属性を発見することが難しくなり、攻撃者は資格情報や Cookie を盗むことができなかった場合に支払いを受ける追加のオプションを得ることができます。
Carson 氏は次のように述べています。「特に金融業界で新しいインターネット サービスが採用されるにつれて、攻撃者は新しいテクノロジーとの互換性を維持するために、他のソフトウェア会社と同様に、バンキング型トロイの木馬を新しいモジュールで更新し続ける必要があります。」
