Android bankacılık Truva Atı SOVA geri döndü ve güncellenmiş yeteneklere sahip; geliştirilmekte olan fidye yazılımı modülünü içeren ek bir sürümle birlikte.
Cleafy'deki araştırmacılar, belgeli
SOVA'nın yeniden dirilişiyle birlikte, sürüm 4'ün bankacılık uygulamaları ve kripto borsaları/cüzdanlar da dahil olmak üzere 200'den fazla mobil uygulamayı hedeflediği görülüyor. Kötü amaçlı yazılımın en çok hedef aldığı ülke İspanya olurken, onu Filipinler ve ABD takip ediyor.
SOVA v4 kötü amaçlı yazılımı, Chrome ve Amazon gibi popüler uygulamaların logolarıyla gizlenen sahte Android uygulamalarının içinde gizleniyor. En son sürüm, artık hedeflenen Google hizmetlerinin ve diğer uygulamaların bir listesini belirtebilen, yeniden düzenlenmiş ve geliştirilmiş bir çerez çalma mekanizması içerir. Ayrıca güncelleme, kötü amaçlı yazılımın, kurbanların uygulamayı kaldırma girişimlerini engelleyerek ve saptırarak kendisini korumasına olanak tanıyor.
Ayrıca SOVA'nın son sürümlerinde saldırganlar, komuta ve kontrol (C2) arayüzü aracılığıyla belirli hedefleri kontrol edebiliyor. Bu, kötü amaçlı yazılımın çok çeşitli saldırı senaryolarına uyarlanabilirliğini artırır.
Ayrıca saldırganların ekran görüntüsü almasına, komutları kaydedip yürütmesine olanak tanıyan yeteneklere de sahiptir. Bu, saldırganın daha kazançlı olabilecek diğer sistemlere veya uygulamalara yatay olarak geçmenin yollarını aramasına olanak tanır.
Raporda, "En ilginç kısım, [sanal ağ bilgi işlem] yeteneği ile ilgilidir" diye belirtiliyor. "Bu özellik, Eylül 2021'den bu yana SOVA yol haritasında yer alıyor ve bu, [tehdit aktörlerinin] kötü amaçlı yazılımı sürekli olarak yeni özellikler ve yeteneklerle güncellediğini gösteren güçlü bir kanıt."
Ufuktaki Fidye Yazılımı
Cleafy ekibi ayrıca, kötü amaçlı yazılımın ek bir sürümü olan sürüm 5'in geliştirilmekte olduğunu ve daha önce Eylül 2021 geliştirme yol haritasında duyurulan bir fidye yazılımı modülünü içereceğini öne süren kanıtlar buldu.
Cleafy araştırmacıları, "Fidye yazılımı özelliği oldukça ilginç çünkü Android bankacılık-truva atı ortamında hâlâ yaygın bir özellik değil" dedi. "Mobil cihazların çoğu insan için kişisel ve iş verilerinin merkezi depolaması haline gelmesiyle son yıllarda ortaya çıkan fırsattan güçlü bir şekilde yararlanıyor."
nVisium'un kıdemli siber güvenlik danışmanı Cory Cline, bir bankacılık Truva atına fidye yazılımı özellikleri eklemenin siber suçlulara pek çok avantaj sağladığını söylüyor.
"Artık finansal bilgilerinize erişmek için kişisel verilerinizi çalmalarına gerek yok" diye açıklıyor. “Fidye yazılımı yetenekleri sayesinde saldırganlar artık etkilenen cihazları şifreleyebiliyor.”
Giderek daha fazla insanın hayatlarının neredeyse her yönünü mobil cihazlarında saklamasıyla, saldırganların geri gönderilen verilere erişim sağlamak için ödeme yapmaya hazır hedefleri daha kolay bulabileceklerini ekliyor.
"SOVA'nın arkasındaki ekip yeni bir gelişmişlik seviyesi sergiledi" diyor. "Özellik seti, Android bankacılık Truva Atı sahnesine oldukça benzersizdir ve SOVA, mevcut en zengin özelliklere sahip Android bankacılık Truva Atı'ndan biridir."
Ancak SOVA'nın arkasındaki ekibin kendi çözümünü yazmak yerine RetroFit for C2'yi uygulamayı tercih ettiğine dikkat çekiyor.
Cline, "Bu, geliştirme ekibindeki bazı sınırlamalara işaret edebilir" diyor.
Bankacılık Truva Atları Ek Yeteneklerden Güç Kazanıyor
Yeniden ortaya çıkan Emotet dahil olmak üzere diğer bankacılık Truva atları da güvenliği aşmaya yardımcı olacak güncellenmiş özelliklerle yeniden ortaya çıktı. bu yazın başlarında Ocak 2021'de ortak uluslararası görev gücü tarafından devre dışı bırakıldıktan sonra daha gelişmiş bir biçimde.
Delinea'nın baş güvenlik bilimcisi ve Danışmanlık CISO'su Joseph Carson, mevcut Android bankacılık Truva Atlarını iyileştirmenin ve geliştirmenin birçok avantajı olduğunu söylüyor.
"SOVA v4 ve SOVA v5'teki önemli iyileştirmeler, saldırganların çerez hırsızı gibi mevcut özellikleri kolayca genişletebileceğini gösteriyor; bu özellikler artık yararlanılabilecek daha fazla ödeme hizmeti ve uygulamayı içeriyor" diye belirtiyor. “Kripto cüzdanları hedef alan yeni modüller, saldırganların kripto para birimlerini kazançlı bir hedef olarak gördüklerini gösteriyor.”
Fidye yazılımı özellikleri eklemenin saldırganlar için kanıtları yok etmek gibi birçok avantajı olabileceğini açıklıyor. Bu, dijital adli bilişimin saldırganın herhangi bir izini veya niteliğini keşfetmesini zorlaştırıyor ve saldırgana, kimlik bilgilerini veya çerezleri çalmanın başarılı olmadığı durumlarda ödeme alması için ek bir seçenek sunuyor.
Carson, "Özellikle finans sektöründeki yeni İnternet hizmetleri benimsendikçe, saldırganların daha yeni teknolojilerle uyumlu kalabilmek için diğer yazılım şirketleri gibi bankacılık Truva Atlarını yeni modüllerle güncellemeye devam etmeleri gerekecek" diyor.
