Android-banktrojaneren SOVA er tilbake og har oppdaterte funksjoner – med en tilleggsversjon under utvikling som inneholder en løsepengeprogrammodul.
Forskere ved Cleafy, som dokumentert
gjenoppblomstringen av SOVA, sier at versjon 4 ser ut til å være rettet mot mer enn 200 mobilapplikasjoner, inkludert bankapper og kryptobørser/lommebøker. Spania ser ut til å være det landet som er mest målrettet av skadelig programvare, etterfulgt av Filippinene og USA.
SOVA v4 malware er skjult i falske Android-applikasjoner forkledd av logoene til populære apper, inkludert Chrome og Amazon. Den nyeste versjonen inkluderer en refaktorisert og forbedret cookie-stealer-mekanisme, som nå kan spesifisere en liste over målrettede Google-tjenester og andre applikasjoner. I tillegg lar oppdateringen skadelig programvare beskytte seg selv ved å avskjære og avlede forsøk gjort av ofre for å avinstallere appen.
Også i de nyeste versjonene av SOVA kan angripere kontrollere de spesifikke målene via kommando-og-kontroll-grensesnittet (C2). Dette øker tilpasningsevnen til skadevare til et stort utvalg angrepsscenarier.
I tillegg har den muligheter som lar angripere ta skjermbilder og ta opp og utføre kommandoer. Dette gjør det mulig for en angriper å se etter måter å bevege seg sideveis rundt til andre systemer eller applikasjoner som kan være mer lukrative.
"Den mest interessante delen er relatert til [virtuell nettverksdatabehandling]-evnen," bemerker rapporten. "Denne funksjonen har vært i SOVAs veikart siden september 2021, og det er et sterkt bevis på at [trusselaktører] stadig oppdaterer skadevare med nye funksjoner og muligheter."
Ransomware on the Horizon
Cleafy-teamet fant også bevis som antydet at en ekstra versjon av skadevaren, versjon 5, er under utvikling og vil inkludere en løsepengevaremodul som tidligere hadde blitt annonsert i et utviklingsveikart fra september 2021.
"Ransomware-funksjonen er ganske interessant siden den fortsatt ikke er vanlig i Android-bank-trojanske landskap," bemerker Cleafy-forskere. "Det utnytter i stor grad muligheten som har oppstått de siste årene, ettersom mobile enheter for de fleste ble den sentrale lagringen for personlige og forretningsdata."
Cory Cline, senior cybersikkerhetskonsulent hos nVisium, sier at det å legge til løsepengevarefunksjoner til en banktrojaner gir mange fordeler for nettkriminelle.
"De trenger ikke lenger å stjele dine personlige data for å få tilgang til din økonomiske informasjon," forklarer han. "Med løsepenge-funksjoner kan angripere nå kryptere berørte enheter."
Han legger til at med flere og flere mennesker som lagrer nesten alle aspekter av livet på sine mobile enheter, vil angripere lettere kunne finne mål som er villige til å betale for å få tilgang til dataene deres returnert.
"Teamet bak SOVA har vist et nytt nivå av sofistikering," sier han. "Funksjonssettet er ganske unikt for Android-banktrojanerscenen, og SOVA er en av de mest funksjonsrike Android-banktrojanerne som er tilgjengelige."
Han påpeker imidlertid at teamet bak SOVA har valgt å implementere RetroFit for C2 i motsetning til å skrive sin egen løsning.
"Dette kan snakke om noen begrensninger i utviklingsteamet," sier Cline.
Banktrojanere får et løft fra tilleggsfunksjoner
Andre banktrojanere har også dukket opp igjen med oppdaterte funksjoner for å hjelpe til med å gå forbi sikkerheten, inkludert Emotet, som dukket opp igjen tidligere i sommer i en mer avansert form etter å ha blitt tatt ned av felles internasjonal arbeidsgruppe i januar 2021.
Joseph Carson, sjefssikkerhetsforsker og rådgivende CISO ved Delinea, sier at det å forbedre og utvikle eksisterende Android-banktrojanere har mange fordeler.
"De betydelige forbedringene til SOVA v4 og SOVA v5 viser at angripere ganske enkelt kan utvide eksisterende funksjoner som cookies-tyveren, som nå inkluderer flere betalingstjenester og applikasjoner å utnytte," påpeker han. "Nye moduler som de som retter seg mot kryptowallets viser at angripere ser kryptovalutaer som et lukrativt mål."
Han forklarer at det å legge til løsepengevarefunksjoner kan ha flere fordeler for angripere, for eksempel å ødelegge bevis. Det gjør det vanskelig for digital etterforskning å oppdage spor eller attribusjon av angriperen, og gir angriperen en ekstra mulighet til å få betalt når det ikke lykkes å stjele legitimasjon eller informasjonskapsler.
«Når nye Internett-tjenester spesifikt i finansbransjen blir tatt i bruk,» sier Carson, «må angripere fortsette å oppdatere banktrojanere med nye moduler, akkurat som alle andre programvareselskaper for å holde seg kompatible med nyere teknologier.»
