Android 뱅킹 트로이 목마 SOVA가 랜섬웨어 모듈을 포함하는 개발 중인 추가 버전과 함께 업데이트된 기능으로 돌아왔습니다.
Cleafy의 연구원들은 문서화 된
SOVA의 부활에 따르면 버전 4는 뱅킹 앱과 암호화폐 거래소/지갑을 포함하여 200개 이상의 모바일 애플리케이션을 대상으로 하는 것으로 보입니다. 스페인은 멀웨어의 가장 큰 표적이 된 국가로 보이며 필리핀과 미국이 그 뒤를 이었습니다.
SOVA v4 멀웨어는 Chrome 및 Amazon을 비롯한 인기 앱의 로고로 위장한 가짜 Android 애플리케이션에 숨겨져 있습니다. 최신 버전에는 리팩토링되고 개선된 쿠키 스틸러 메커니즘이 포함되어 이제 대상 Google 서비스 및 기타 애플리케이션 목록을 지정할 수 있습니다. 또한 이 업데이트를 통해 맬웨어는 피해자가 앱을 제거하려는 시도를 가로채고 우회하여 스스로를 보호할 수 있습니다.
또한 최신 버전의 SOVA에서 공격자는 C2(명령 및 제어) 인터페이스를 통해 특정 대상을 제어할 수 있습니다. 이는 다양한 공격 시나리오에 대한 맬웨어의 적응성을 높입니다.
또한 공격자가 스크린샷을 캡처하고 명령을 기록 및 실행할 수 있는 기능이 있습니다. 이를 통해 공격자는 더 수익성이 있을 수 있는 다른 시스템이나 응용 프로그램으로 횡적으로 이동할 수 있는 방법을 찾을 수 있습니다.
보고서는 “가장 흥미로운 부분은 [가상 네트워크 컴퓨팅] 기능과 관련이 있습니다. "이 기능은 2021년 XNUMX월부터 SOVA 로드맵에 포함되었으며 이는 [위협 행위자]가 새로운 기능으로 악성코드를 지속적으로 업데이트하고 있다는 강력한 증거입니다."
지평선의 랜섬웨어
Cleafy 팀은 또한 멀웨어의 추가 버전인 버전 5가 개발 중이며 이전에 2021년 XNUMX월 개발 로드맵에서 발표된 랜섬웨어 모듈을 포함할 것임을 시사하는 증거를 찾았습니다.
Cleafy 연구원은 "랜섬웨어 기능은 여전히 Android 뱅킹 트로이 목마 환경에서 일반적인 기능이 아니기 때문에 매우 흥미롭습니다."라고 말했습니다. "모바일 장치가 대부분의 사람들에게 개인 및 비즈니스 데이터의 중앙 저장소가 되면서 최근 몇 년 동안 발생한 기회를 강력하게 활용합니다."
nVisium의 수석 사이버 보안 컨설턴트인 Cory Cline은 뱅킹 트로이 목마에 랜섬웨어 기능을 추가하면 사이버 범죄자에게 많은 이점이 있다고 말합니다.
"더 이상 금융 정보에 액세스하기 위해 개인 데이터를 훔칠 필요가 없습니다."라고 그는 설명합니다. "랜섬웨어 기능을 통해 공격자는 이제 영향을 받는 장치를 암호화할 수 있습니다."
그는 점점 더 많은 사람들이 자신의 삶의 거의 모든 측면을 모바일 장치에 저장함에 따라 공격자가 반환된 데이터에 액세스하기 위해 기꺼이 비용을 지불할 대상을 더 쉽게 찾을 수 있을 것이라고 덧붙였습니다.
"SOVA의 팀은 새로운 차원의 정교함을 보여주었습니다."라고 그는 말합니다. "기능 세트는 Android 뱅킹 트로이 목마 장면에서 상당히 고유하며 SOVA는 사용 가능한 기능이 가장 풍부한 Android 뱅킹 트로이 목마 중 하나입니다."
그러나 그는 SOVA 뒤에 있는 팀이 자체 솔루션을 작성하는 대신 RetroFit for C2를 구현하기로 선택했다고 지적합니다.
Cline은 "이는 개발 팀의 몇 가지 제한 사항을 말할 수 있습니다."라고 말합니다.
뱅킹 트로이 목마는 추가된 기능을 통해 향상
다른 은행 트로이 목마도 다시 등장한 Emotet을 포함하여 보안을 통과하는 데 도움이 되는 업데이트된 기능으로 다시 나타났습니다. 이번 여름 초 2021년 XNUMX월 국제 합동 태스크포스에 의해 해체된 후 보다 발전된 형태로.
Delinea의 수석 보안 과학자이자 자문 CISO인 Joseph Carson은 기존 Android 뱅킹 트로이 목마를 개선하고 발전시키는 데 많은 이점이 있다고 말합니다.
"SOVA v4 및 SOVA v5의 상당한 개선 사항은 공격자가 쿠키 스틸러와 같은 기존 기능을 단순히 확장할 수 있음을 보여줍니다. 여기에는 더 많은 지불 서비스와 악용할 응용 프로그램이 포함됩니다."라고 그는 지적합니다. "암호화폐 지갑을 대상으로 하는 모듈과 같은 새로운 모듈은 공격자가 암호화폐를 수익성 있는 대상으로 보고 있음을 보여줍니다."
그는 랜섬웨어 기능을 추가하면 증거 파괴와 같은 공격자에게 여러 이점이 있을 수 있다고 설명합니다. 이는 디지털 포렌식에서 공격자의 흔적이나 속성을 발견하기 어렵게 만들고 자격 증명이나 쿠키를 훔치는 데 성공하지 못했을 때 공격자가 돈을 받을 수 있는 추가 옵션을 제공합니다.
Carson은 "특히 금융 산업에서 새로운 인터넷 서비스가 채택됨에 따라 공격자는 최신 기술과의 호환성을 유지하기 위해 다른 소프트웨어 회사와 마찬가지로 새로운 모듈로 뱅킹 트로이 목마를 계속 업데이트해야 합니다."라고 말했습니다.
