De Android banking-trojan SOVA is terug en heeft bijgewerkte mogelijkheden — met een extra versie in ontwikkeling die een ransomware-module bevat.
Onderzoekers van Cleafy, die gedocumenteerd
de heropleving van SOVA, zeggen dat versie 4 zich lijkt te richten op meer dan 200 mobiele applicaties, waaronder bank-apps en crypto-uitwisselingen/wallets. Spanje lijkt het land dat het meest het doelwit is van de malware, gevolgd door de Filippijnen en de VS.
De SOVA v4-malware is verborgen in nep-Android-applicaties vermomd door de logo's van populaire apps, waaronder Chrome en Amazon. De nieuwste versie bevat een herwerkt en verbeterd mechanisme voor het stelen van cookies, dat nu een lijst met gerichte Google-services en andere applicaties kan specificeren. Bovendien stelt de update de malware in staat zichzelf te beschermen door pogingen van slachtoffers om de app te verwijderen te onderscheppen en af te weren.
Ook in de nieuwste versies van SOVA kunnen aanvallers de specifieke doelen besturen via de command-and-control (C2) interface. Dit vergroot het aanpassingsvermogen van de malware aan een grote verscheidenheid aan aanvalsscenario's.
Bovendien heeft het mogelijkheden waarmee aanvallers schermafbeeldingen kunnen maken en opdrachten kunnen opnemen en uitvoeren. Hierdoor kan een aanvaller zoeken naar manieren om lateraal naar andere systemen of applicaties te gaan die mogelijk lucratiever zijn.
"Het meest interessante deel heeft te maken met de [virtual network computing]-mogelijkheid", merkt het rapport op. "Deze functie staat sinds september 2021 in de SOVA-roadmap en dat is een sterk bewijs dat [bedreigingsactoren] de malware voortdurend updaten met nieuwe functies en mogelijkheden."
Ransomware aan de horizon
Het Cleafy-team vond ook bewijs dat suggereerde dat een extra versie van de malware, versie 5, in ontwikkeling is en een ransomware-module zal bevatten die eerder was aangekondigd in een ontwikkelingsroadmap van september 2021.
"De ransomware-functie is best interessant omdat het nog steeds niet gebruikelijk is in het Android banking-trojan-landschap", merken Cleafy-onderzoekers op. "Het maakt sterk gebruik van de kansen die zich de afgelopen jaren hebben voorgedaan, aangezien mobiele apparaten voor de meeste mensen de centrale opslag voor persoonlijke en zakelijke gegevens werden."
Cory Cline, senior cybersecurity-consultant bij nVisium, zegt dat het toevoegen van ransomware-mogelijkheden aan een banktrojan veel voordelen biedt voor cybercriminelen.
"Ze hoeven niet langer uw persoonlijke gegevens te stelen om toegang te krijgen tot uw financiële informatie", legt hij uit. "Met ransomware-mogelijkheden kunnen aanvallers nu getroffen apparaten versleutelen."
Hij voegt eraan toe dat met steeds meer mensen die bijna elk aspect van hun leven op hun mobiele apparaten opslaan, aanvallers gemakkelijker doelen kunnen vinden die bereid zijn te betalen om toegang tot hun gegevens te krijgen.
"Het team achter SOVA heeft een nieuw niveau van verfijning getoond", zegt hij. "De functieset is vrij uniek voor de Android banking Trojan-scene, en SOVA is een van de meest veelzijdige Android banking-trojans die er zijn."
Hij wijst er echter op dat het team achter SOVA ervoor heeft gekozen om RetroFit voor C2 te implementeren in plaats van een eigen oplossing te schrijven.
"Dit zou kunnen wijzen op enkele beperkingen in het ontwikkelingsteam", zegt Cline.
Banktrojans krijgen een boost van extra mogelijkheden
Andere bank-trojans zijn ook weer opgedoken met bijgewerkte functies om voorbij de beveiliging te schaatsen, waaronder Emotet, die opnieuw verscheen eerder deze zomer in een meer geavanceerde vorm na te zijn neergehaald door de gezamenlijke internationale taskforce in januari 2021.
Joseph Carson, chief security scientist en Advisory CISO bij Delinea, zegt dat het verbeteren en ontwikkelen van bestaande Android banking trojans veel voordelen heeft.
"De aanzienlijke verbeteringen aan SOVA v4 en SOVA v5 laten zien dat aanvallers eenvoudig bestaande functies kunnen uitbreiden, zoals de cookies-stealer, die nu meer betalingsdiensten en toepassingen omvat om te misbruiken", benadrukt hij. "Nieuwe modules, zoals die gericht zijn op cryptowallets, tonen aan dat aanvallers cryptocurrencies als een lucratief doelwit zien."
Hij legt uit dat het toevoegen van ransomware-mogelijkheden meerdere voordelen kan hebben voor aanvallers, zoals het vernietigen van bewijsmateriaal. Dat maakt het moeilijk voor digitaal forensisch onderzoek om sporen of toeschrijving van de aanvaller te ontdekken, en geeft de aanvaller een extra optie om betaald te worden wanneer het stelen van inloggegevens of cookies niet succesvol is.
"Naarmate nieuwe internetdiensten, specifiek in de financiële sector, worden geadopteerd", zegt Carson, "zullen aanvallers banktrojans blijven updaten met nieuwe modules, net als elk ander softwarebedrijf om compatibel te blijven met nieuwere technologieën."
