Банківський троян Android SOVA повернувся з оновленими можливостями — з додатковою версією, що розробляється, яка містить модуль програм-вимагачів.
Дослідники з Cleafy, які документований
Відродження SOVA, кажуть, що версія 4, схоже, націлена на понад 200 мобільних додатків, включаючи банківські додатки та криптобіржі/гаманці. Іспанія, здається, є країною, на яку найбільше націлено шкідливе програмне забезпечення, за нею йдуть Філіппіни та США.
Зловмисне програмне забезпечення SOVA v4 приховано в підроблених програмах Android, замаскованих логотипами популярних програм, зокрема Chrome і Amazon. Остання версія містить оновлений і покращений механізм викрадання файлів cookie, який тепер може вказувати список цільових служб Google та інших програм. Крім того, оновлення дозволяє шкідливому програмному забезпеченню захистити себе, перехоплюючи та відбиваючи спроби жертв видалити програму.
Крім того, в останніх версіях SOVA зловмисники можуть контролювати конкретні цілі через інтерфейс командування та керування (C2). Це підвищує адаптивність шкідливого програмного забезпечення до різноманітних сценаріїв атак.
Крім того, він має можливості, які дозволяють зловмисникам робити знімки екрана, а також записувати та виконувати команди. Це дає змогу зловмиснику шукати способи перейти до інших систем або програм, які можуть бути більш прибутковими.
«Найцікавіша частина пов’язана з можливостями [віртуальних мережевих обчислень]», — зазначається у звіті. «Ця функція включена в дорожню карту SOVA з вересня 2021 року, і це є переконливим доказом того, що [актори загроз] постійно оновлюють зловмисне програмне забезпечення новими функціями та можливостями».
Програми-вимагачі на горизонті
Команда Cleafy також знайшла докази того, що додаткова версія зловмисного програмного забезпечення, версія 5, знаходиться в розробці та включатиме модуль програм-вимагачів, який раніше був оголошений у плані розробки на вересень 2021 року.
«Функція програми-вимагача є досить цікавою, оскільки вона все ще не є загальноприйнятою серед банківських троянів Android», — зазначають дослідники Cleafy. «Це значною мірою використовує можливості, які виникли в останні роки, оскільки мобільні пристрої стали для більшості людей центральним сховищем особистих і бізнес-даних».
Корі Клайн, старший консультант з кібербезпеки в nVisium, каже, що додавання можливостей програм-вимагачів до банківського трояна дає багато переваг кіберзлочинцям.
«Їм більше не потрібно викрадати ваші особисті дані, щоб отримати доступ до вашої фінансової інформації», — пояснює він. «Завдяки можливостям програм-вимагачів зловмисники тепер можуть шифрувати уражені пристрої».
Він додає, що все більше і більше людей зберігають майже всі аспекти свого життя на своїх мобільних пристроях, зловмисники зможуть легше знаходити цілі, готові заплатити за повернення доступу до своїх даних.
«Команда SOVA продемонструвала новий рівень витонченості», — каже він. «Набір функцій є досить унікальним для банківської троянської програми Android, і SOVA є одним із найбагатших функцій троянської програми Android».
Однак він зазначає, що команда SOVA вирішила реалізувати RetroFit для C2, а не писати власне рішення.
«Це може свідчити про деякі обмеження в команді розробників», — каже Клайн.
Банківські трояни отримують посилення завдяки додатковим можливостям
Інші банківські трояни також знову з’явилися з оновленими функціями, щоб допомогти уникнути безпеки, зокрема Emotet, який знову з’явився на початку цього літа у більш просунутій формі після того, як його знищила спільна міжнародна оперативна група в січні 2021 року.
Джозеф Карсон, головний спеціаліст із безпеки та консультант CISO у Delinea, каже, що вдосконалення та розвиток існуючих банківських троянів Android має багато переваг.
«Значні вдосконалення SOVA v4 і SOVA v5 показують, що зловмисники можуть просто розширити існуючі функції, такі як викрадач файлів cookie, який тепер включає більше платіжних сервісів і додатків для використання», — зазначає він. «Нові модулі, такі як ті, що націлені на криптовалюти, демонструють, що зловмисники бачать криптовалюти як прибуткову ціль».
Він пояснює, що додавання можливостей програм-вимагачів може мати численні переваги для зловмисників, наприклад знищення доказів. Це ускладнює цифровій криміналістиці виявлення будь-яких слідів або атрибуції зловмисника та дає зловмиснику додаткову можливість отримати гроші, якщо викрадення облікових даних або файлів cookie не вдається.
«З впровадженням нових інтернет-сервісів, особливо у фінансовій індустрії, — говорить Карсон, — зловмисникам потрібно буде продовжувати оновлювати банківські трояни новими модулями, як і будь-яка інша компанія, що займається програмним забезпеченням, щоб залишатися сумісною з новими технологіями».
