Trojan bankowy dla systemu Android SOVA powraca i ma zaktualizowane możliwości — z dodatkową wersją w fazie rozwoju, która zawiera moduł oprogramowania ransomware.
Naukowcy z Cleafy, które udokumentowane
odrodzenie SOVA mówi, że wersja 4 wydaje się być ukierunkowana na ponad 200 aplikacji mobilnych, w tym aplikacje bankowe i giełdy/portfele kryptograficzne. Hiszpania wydaje się być krajem najczęściej atakowanym przez szkodliwe oprogramowanie, a następnie Filipiny i Stany Zjednoczone.
Szkodliwe oprogramowanie SOVA v4 jest ukryte w fałszywych aplikacjach na Androida zamaskowanych logo popularnych aplikacji, w tym Chrome i Amazon. Najnowsza wersja zawiera zrefaktoryzowany i ulepszony mechanizm wykradania plików cookie, który może teraz określić listę docelowych usług Google i innych aplikacji. Ponadto aktualizacja pozwala złośliwemu oprogramowaniu chronić się poprzez przechwytywanie i odpieranie prób odinstalowania aplikacji przez ofiary.
Również w najnowszych wersjach SOVA atakujący mogą kontrolować określone cele za pomocą interfejsu dowodzenia i kontroli (C2). Zwiększa to zdolność adaptacji złośliwego oprogramowania do wielu różnych scenariuszy ataków.
Ponadto ma możliwości, które umożliwiają atakującym przechwytywanie zrzutów ekranu oraz nagrywanie i wykonywanie poleceń. Dzięki temu atakujący może szukać sposobów na boczne przejście do innych systemów lub aplikacji, które mogą być bardziej dochodowe.
„Najbardziej interesująca część jest związana z możliwościami [przetwarzania w sieci wirtualnej]” – zauważa raport. „Ta funkcja znajduje się na mapie drogowej SOVA od września 2021 r. i jest to mocny dowód na to, że [zagrożenia] stale aktualizują złośliwe oprogramowanie o nowe funkcje i możliwości”.
Ransomware na horyzoncie
Zespół Cleafy znalazł również dowody sugerujące, że opracowywana jest dodatkowa wersja złośliwego oprogramowania, wersja 5, która będzie zawierać moduł oprogramowania ransomware, który został wcześniej ogłoszony w planie rozwoju z września 2021 r.
„Funkcja ransomware jest dość interesująca, ponieważ wciąż nie jest powszechna w krajobrazie bankowych trojanów dla Androida” – zauważają badacze Cleafy. „W dużym stopniu wykorzystuje możliwości, które pojawiły się w ostatnich latach, ponieważ urządzenia mobilne stały się dla większości ludzi centralnym miejscem przechowywania danych osobistych i biznesowych”.
Cory Cline, starszy konsultant ds. cyberbezpieczeństwa w nVisium, twierdzi, że dodanie możliwości ransomware do trojana bankowego oferuje cyberprzestępcom wiele korzyści.
„Nie muszą już kraść twoich danych osobowych, aby uzyskać dostęp do twoich informacji finansowych”, wyjaśnia. „Dzięki funkcjom ransomware osoby atakujące mogą teraz szyfrować dotknięte urządzenia”.
Dodaje, że coraz więcej osób przechowuje niemal każdy aspekt swojego życia na swoich urządzeniach mobilnych, więc osoby atakujące będą mogły łatwiej znaleźć cele, które będą skłonne zapłacić, aby uzyskać dostęp do zwróconych danych.
„Zespół stojący za SOVA wykazał się nowym poziomem wyrafinowania”, mówi. „Zestaw funkcji jest dość unikalny dla sceny trojanów bankowych dla Androida, a SOVA jest jednym z najbardziej bogatych w funkcje trojanów bankowych dla Androida”.
Wskazuje jednak, że zespół stojący za SOVA zdecydował się na wdrożenie RetroFit dla C2 zamiast pisania własnego rozwiązania.
„Może to wskazywać na pewne ograniczenia w zespole programistycznym” — mówi Cline.
Trojany bankowe zyskują dzięki dodanym możliwościom
Pojawiły się również inne trojany bankowe ze zaktualizowanymi funkcjami, które pomagają ominąć zabezpieczenia, w tym Emotet, który pojawił się ponownie wcześniej tego lata w bardziej zaawansowanej formie po zlikwidowaniu przez wspólną międzynarodową grupę zadaniową w styczniu 2021 r.
Joseph Carson, główny naukowiec ds. bezpieczeństwa i Advisory CISO w Delinea, twierdzi, że ulepszanie i ewolucja istniejących trojanów bankowych dla Androida ma wiele zalet.
„Znaczne ulepszenia SOVA v4 i SOVA v5 pokazują, że osoby atakujące mogą po prostu rozszerzyć istniejące funkcje, takie jak kradzież plików cookie, która teraz obejmuje więcej usług płatniczych i aplikacji do wykorzystania” — podkreśla. „Nowe moduły, takie jak te ukierunkowane na portfele kryptograficzne, pokazują, że atakujący postrzegają kryptowaluty jako lukratywny cel”.
Wyjaśnia, że dodanie funkcji ransomware może mieć wiele zalet dla atakujących, takich jak niszczenie dowodów. Utrudnia to kryminalistyce cyfrowej wykrycie jakichkolwiek śladów lub przypisania napastnika i daje atakującemu dodatkową opcję otrzymania zapłaty, gdy kradzież danych uwierzytelniających lub plików cookie nie powiedzie się.
„W miarę przyjmowania nowych usług internetowych, szczególnie w branży finansowej”, mówi Carson, „atakujący będą musieli aktualizować trojany bankowe o nowe moduły, tak jak każda inna firma programistyczna, aby zachować zgodność z nowszymi technologiami”.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
