O Trojan bancário Android SOVA está de volta e apresentando recursos atualizados – com uma versão adicional em desenvolvimento que contém um módulo de ransomware.
Pesquisadores da Cleafy, que documentado
o ressurgimento do SOVA, dizem que a versão 4 parece ter como alvo mais de 200 aplicativos móveis, incluindo aplicativos bancários e bolsas/carteiras de criptografia. A Espanha parece ser o país mais visado pelo malware, seguida pelas Filipinas e pelos EUA.
O malware SOVA v4 está oculto em aplicativos Android falsos, disfarçados por logotipos de aplicativos populares, incluindo Chrome e Amazon. A versão mais recente inclui um mecanismo de roubo de cookies refatorado e aprimorado, que agora pode especificar uma lista de serviços direcionados do Google e outros aplicativos. Além disso, a atualização permite que o malware se proteja interceptando e desviando as tentativas das vítimas de desinstalar o app.
Também nas versões mais recentes do SOVA, os invasores podem controlar alvos específicos por meio da interface de comando e controle (C2). Isto aumenta a adaptabilidade do malware a uma grande variedade de cenários de ataque.
Além disso, possui recursos que permitem aos invasores capturar capturas de tela e gravar e executar comandos. Isso permite que um invasor procure maneiras de migrar lateralmente para outros sistemas ou aplicativos que possam ser mais lucrativos.
“A parte mais interessante está relacionada à capacidade [de computação em rede virtual]”, observa o relatório. “Esse recurso está no roteiro da SOVA desde setembro de 2021 e é uma forte evidência de que [os atores da ameaça] estão constantemente atualizando o malware com novos recursos e capacidades.”
Ransomware no horizonte
A equipe Cleafy também encontrou evidências que sugeriam que uma versão adicional do malware, a versão 5, está em desenvolvimento e incluirá um módulo de ransomware que havia sido anunciado anteriormente em um roteiro de desenvolvimento de setembro de 2021.
“O recurso de ransomware é bastante interessante, pois ainda não é comum no cenário de trojans bancários do Android”, observam os pesquisadores da Cleafy. “Aproveita fortemente a oportunidade que surgiu nos últimos anos, à medida que os dispositivos móveis se tornaram, para a maioria das pessoas, o armazenamento central de dados pessoais e empresariais.”
Cory Cline, consultor sênior de segurança cibernética da nVisium, diz que adicionar recursos de ransomware a um Trojan bancário oferece muitas vantagens para os cibercriminosos.
“Eles não precisam mais roubar seus dados pessoais para ter acesso às suas informações financeiras”, explica. “Com recursos de ransomware, os invasores agora podem criptografar os dispositivos afetados.”
Ele acrescenta que, com cada vez mais pessoas armazenando quase todos os aspectos de suas vidas em seus dispositivos móveis, os invasores poderão encontrar mais facilmente alvos dispostos a pagar para ter acesso aos dados devolvidos.
“A equipe por trás da SOVA demonstrou um novo nível de sofisticação”, diz ele. “O conjunto de recursos é bastante exclusivo para o cenário do Trojan bancário Android, e o SOVA é um dos Trojans bancários Android com mais recursos disponíveis.”
No entanto, ele ressalta que a equipe por trás da SOVA optou por implementar o RetroFit para C2 em vez de escrever sua própria solução.
“Isso pode indicar algumas limitações da equipe de desenvolvimento”, diz Cline.
Trojans bancários são impulsionados por recursos adicionais
Outros Trojans bancários também ressurgiram com recursos atualizados para ajudar a contornar a segurança, incluindo o Emotet, que ressurgiu no início deste verão numa forma mais avançada, depois de ter sido derrubado por uma força-tarefa internacional conjunta em janeiro de 2021.
Joseph Carson, cientista-chefe de segurança e CISO consultivo da Delinea, afirma que melhorar e evoluir os cavalos de Troia bancários Android existentes tem muitas vantagens.
“As melhorias significativas no SOVA v4 e no SOVA v5 mostram que os invasores podem simplesmente expandir os recursos existentes, como o ladrão de cookies, que agora inclui mais serviços de pagamento e aplicativos para explorar”, ressalta. “Novos módulos, como aqueles direcionados a carteiras criptografadas, demonstram que os invasores veem as criptomoedas como um alvo lucrativo.”
Ele explica que adicionar recursos de ransomware pode trazer múltiplas vantagens para os invasores, como a destruição de evidências. Isso torna difícil para a análise forense digital descobrir quaisquer vestígios ou atribuição do invasor e dá ao invasor uma opção adicional de ser pago quando o roubo de credenciais ou cookies não for bem-sucedido.
“À medida que novos serviços de Internet, especificamente no setor financeiro, forem adotados”, diz Carson, “os invasores precisarão continuar atualizando os Trojans bancários com novos módulos, como qualquer outra empresa de software, para permanecerem compatíveis com as tecnologias mais recentes”.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
