Android-банковский троянец SOVA вернулся и обладает обновленными возможностями — в разработке находится дополнительная версия, содержащая модуль программы-вымогателя.
Исследователи из Cleafy, которая документированный
возрождение SOVA, говорят, что версия 4, по-видимому, нацелена на более чем 200 мобильных приложений, включая банковские приложения и криптобиржи/кошельки. Испания, по-видимому, является страной, наиболее пострадавшей от вредоносного ПО, за ней следуют Филиппины и США.
Вредоносная программа SOVA v4 скрыта в поддельных приложениях для Android, замаскированных логотипами популярных приложений, включая Chrome и Amazon. Последняя версия включает переработанный и улучшенный механизм кражи файлов cookie, который теперь может указывать список целевых сервисов Google и других приложений. Кроме того, обновление позволяет вредоносным программам защищать себя, перехватывая и отражая попытки жертв удалить приложение.
Также в последних версиях SOVA злоумышленники могут управлять конкретными целями через командно-контрольный интерфейс (C2). Это повышает адаптивность вредоносного ПО к большому разнообразию сценариев атак.
Кроме того, у него есть возможности, которые позволяют злоумышленникам делать снимки экрана, а также записывать и выполнять команды. Это позволяет злоумышленнику искать способы бокового перемещения к другим системам или приложениям, которые могут быть более прибыльными.
«Самая интересная часть связана с возможностями [виртуальных сетевых вычислений]», — отмечается в отчете. «Эта функция включена в дорожную карту SOVA с сентября 2021 года, и это убедительное свидетельство того, что [субъекты угроз] постоянно обновляют вредоносное ПО новыми функциями и возможностями».
Программы-вымогатели на горизонте
Команда Cleafy также обнаружила доказательства того, что в разработке находится дополнительная версия вредоносного ПО, версия 5, которая будет включать модуль программы-вымогателя, о котором ранее было объявлено в дорожной карте разработки на сентябрь 2021 года.
«Функция программы-вымогателя весьма интересна, поскольку она до сих пор не распространена среди банковских троянов Android», — отмечают исследователи Cleafy. «Он активно использует возможности, появившиеся в последние годы, поскольку мобильные устройства стали для большинства людей центральным хранилищем личных и деловых данных».
Кори Клайн, старший консультант по кибербезопасности в nVisium, говорит, что добавление возможностей программы-вымогателя к банковскому трояну дает киберпреступникам множество преимуществ.
«Им больше не нужно красть ваши личные данные, чтобы получить доступ к вашей финансовой информации», — объясняет он. «Благодаря возможностям программ-вымогателей злоумышленники теперь могут шифровать уязвимые устройства».
Он добавляет, что, поскольку все больше и больше людей хранят почти все аспекты своей жизни на своих мобильных устройствах, злоумышленникам будет легче находить цели, готовые платить за возврат доступа к своим данным.
«Команда SOVA продемонстрировала новый уровень сложности, — говорит он. «Набор функций довольно уникален для сцены банковских троянов Android, а SOVA — один из самых многофункциональных доступных банковских троянцев Android».
Однако он отмечает, что команда SOVA решила внедрить RetroFit для C2, а не писать собственное решение.
«Это может говорить о некоторых ограничениях в команде разработчиков», — говорит Клайн.
Банковские трояны получают дополнительные возможности
Другие банковские троянцы также появились с обновленными функциями, помогающими обойти систему безопасности, в том числе Emotet, который появился вновь. ранее этим летом в более продвинутой форме после того, как в январе 2021 года его сбила совместная международная оперативная группа.
Джозеф Карсон, главный специалист по безопасности и консультант по информационным технологиям компании Delinea, говорит, что улучшение и развитие существующих банковских троянцев для Android имеет много преимуществ.
«Значительные улучшения в SOVA v4 и SOVA v5 показывают, что злоумышленники могут просто расширить существующие функции, такие как похититель файлов cookie, который теперь включает больше платежных сервисов и приложений для использования», — отмечает он. «Новые модули, такие как те, которые нацелены на криптокошельки, демонстрируют, что злоумышленники рассматривают криптовалюты как прибыльную цель».
Он объясняет, что добавление возможностей программ-вымогателей может иметь множество преимуществ для злоумышленников, таких как уничтожение улик. Это затрудняет для цифровой криминалистики обнаружение каких-либо следов или атрибуции злоумышленника и дает злоумышленнику дополнительную возможность получить оплату, если кража учетных данных или файлов cookie не увенчалась успехом.
«По мере внедрения новых интернет-сервисов, особенно в финансовой сфере, — говорит Карсон, — злоумышленникам нужно будет постоянно обновлять банковские трояны новыми модулями, как и любой другой компании-разработчику программного обеспечения, чтобы оставаться совместимыми с новейшими технологиями».
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
