Android-banktrojanen SOVA är tillbaka och har uppdaterade funktioner – med en ytterligare version under utveckling som innehåller en lösenprogramsmodul.
Forskare vid Cleafy, som dokumenterat
återkomsten av SOVA, säger att version 4 verkar vara inriktad på mer än 200 mobilapplikationer, inklusive bankappar och kryptobörser/plånböcker. Spanien verkar vara det land som mest riktas mot skadlig programvara, följt av Filippinerna och USA.
SOVA v4 skadlig programvara är gömd i falska Android-applikationer förklädd av logotyperna för populära appar inklusive Chrome och Amazon. Den senaste versionen innehåller en omstrukturerad och förbättrad cookie-stealer-mekanism, som nu kan specificera en lista över riktade Google-tjänster och andra applikationer. Dessutom tillåter uppdateringen att skadlig programvara skyddar sig själv genom att avlyssna och avleda försök från offer att avinstallera appen.
Även i de senaste versionerna av SOVA kan angripare kontrollera de specifika målen via kommando-och-kontroll-gränssnittet (C2). Detta ökar anpassningsförmågan för skadlig programvara till en mängd olika attackscenarier.
Dessutom har den funktioner som gör att angripare kan ta skärmdumpar och spela in och utföra kommandon. Detta gör det möjligt för en angripare att leta efter sätt att i sidled flytta runt till andra system eller applikationer som kan vara mer lukrativa.
"Den mest intressanta delen är relaterad till kapaciteten för [virtuella nätverksdatorer]", konstaterar rapporten. "Den här funktionen har funnits i SOVAs färdplan sedan september 2021 och det är ett starkt bevis på att [hotaktörer] ständigt uppdaterar skadlig programvara med nya funktioner och möjligheter."
Ransomware on the Horizon
Cleafy-teamet hittade också bevis som tydde på att ytterligare en version av skadlig programvara, version 5, är under utveckling och kommer att inkludera en ransomware-modul som tidigare hade tillkännagivits i en utvecklingsfärdplan för september 2021.
"Ransomware-funktionen är ganska intressant eftersom den fortfarande inte är vanlig i Android-bank-trojan-landskapet," konstaterar Cleafy-forskare. "Det drar starkt nytta av den möjlighet som har uppstått de senaste åren, eftersom mobila enheter för de flesta blev den centrala lagringen för personlig och affärsdata."
Cory Cline, senior cybersäkerhetskonsult på nVisium, säger att det ger cyberbrottslingar en hel del fördelar att lägga till lösenprogramsfunktioner till en banktrojan.
"De behöver inte längre stjäla dina personuppgifter för att få tillgång till din finansiella information", förklarar han. "Med möjligheter till ransomware kan angripare nu kryptera drabbade enheter."
Han tillägger att med fler och fler människor som lagrar nästan alla aspekter av sina liv på sina mobila enheter, kommer angripare att lättare kunna hitta mål som är villiga att betala för att få tillgång till deras data returnerad.
"Teamet bakom SOVA har visat en ny nivå av sofistikering", säger han. "Funktionsuppsättningen är ganska unik för Android-banktrojanerna, och SOVA är en av de mest funktionsrika Android-banktrojanerna som finns tillgängliga."
Han påpekar dock att teamet bakom SOVA har valt att implementera RetroFit för C2 i motsats till att skriva en egen lösning.
"Detta kan tala om vissa begränsningar i utvecklingsteamet," säger Cline.
Banktrojaner får uppsving från tillagda funktioner
Andra banktrojaner har också dykt upp igen med uppdaterade funktioner för att hjälpa till att gå förbi säkerheten, inklusive Emotet, som återuppstod tidigare i sommar i en mer avancerad form efter att ha tagits ned av en gemensam internationell insatsstyrka i januari 2021.
Joseph Carson, säkerhetsforskare och rådgivande CISO på Delinea, säger att det har många fördelar att förbättra och utveckla befintliga Android-banktrojaner.
"De betydande förbättringarna av SOVA v4 och SOVA v5 visar att angripare helt enkelt kan utöka befintliga funktioner som cookies stjälare, som nu inkluderar fler betaltjänster och applikationer att utnyttja", påpekar han. "Nya moduler som de som riktar sig till kryptoplånböcker visar att angripare ser kryptovalutor som ett lukrativt mål."
Han förklarar att det kan ha flera fördelar för angripare att lägga till ransomware-funktioner, som att förstöra bevis. Det gör det svårt för digital kriminalteknik att upptäcka eventuella spår eller tillskrivning av angriparen, och ger angriparen ett ytterligare alternativ att få betalt när det inte går att stjäla referenser eller cookies.
"När nya internettjänster specifikt inom finansbranschen antas", säger Carson, "kommer angripare att behöva uppdatera banktrojaner med nya moduler precis som alla andra mjukvaruföretag för att förbli kompatibla med nyare teknologier."
