اینڈرائیڈ بینکنگ Trojan SOVA واپس آ گیا ہے اور اپڈیٹ شدہ صلاحیتوں کو کھیل رہا ہے — ترقی میں ایک اضافی ورژن کے ساتھ جس میں رینسم ویئر ماڈیول شامل ہے۔
Cleafy میں محققین، جو دستاویزی
SOVA کی بحالی کا کہنا ہے کہ ورژن 4 200 سے زیادہ موبائل ایپلی کیشنز کو نشانہ بنا رہا ہے، بشمول بینکنگ ایپس اور کرپٹو ایکسچینج/والٹس۔ ایسا لگتا ہے کہ اسپین میلویئر کا سب سے زیادہ نشانہ بننے والا ملک ہے، اس کے بعد فلپائن اور امریکہ ہیں۔
SOVA v4 میلویئر جعلی اینڈرائیڈ ایپلی کیشنز کے اندر چھپا ہوا ہے جس میں کروم اور ایمیزون سمیت مقبول ایپس کے لوگو کے بھیس میں چھپا ہوا ہے۔ تازہ ترین ورژن میں ایک ریفیکٹرڈ اور بہتر کوکی اسٹیلر میکانزم شامل ہے، جو اب ٹارگٹڈ گوگل سروسز اور دیگر ایپلیکیشنز کی فہرست بتا سکتا ہے۔ مزید برآں، اپ ڈیٹ میلویئر کو متاثرین کی جانب سے ایپ کو ان انسٹال کرنے کی کوششوں کو روکنے اور ان کو روکنے کے ذریعے خود کو محفوظ رکھنے کی اجازت دیتا ہے۔
SOVA کے تازہ ترین ورژن میں بھی، حملہ آور کمانڈ اینڈ کنٹرول (C2) انٹرفیس کے ذریعے مخصوص اہداف کو کنٹرول کر سکتے ہیں۔ یہ میلویئر کی متعدد قسم کے حملے کے منظرناموں میں موافقت کو بڑھاتا ہے۔
اس کے علاوہ، اس میں ایسی صلاحیتیں ہیں جو حملہ آوروں کو اسکرین شاٹس لینے، اور کمانڈز کو ریکارڈ کرنے اور اس پر عمل کرنے کی اجازت دیتی ہیں۔ یہ حملہ آور کو اس قابل بناتا ہے کہ وہ دوسرے سسٹمز یا ایپلیکیشنز کی طرف دیر سے منتقل ہونے کے طریقے تلاش کر سکے جو زیادہ منافع بخش ہو سکتے ہیں۔
"سب سے دلچسپ حصہ [ورچوئل نیٹ ورک کمپیوٹنگ] کی صلاحیت سے متعلق ہے،" رپورٹ نوٹ کرتی ہے۔ "یہ خصوصیت ستمبر 2021 سے SOVA روڈ میپ میں ہے اور یہ اس بات کا مضبوط ثبوت ہے کہ [خطرے کے اداکار] میلویئر کو نئی خصوصیات اور صلاحیتوں کے ساتھ مسلسل اپ ڈیٹ کر رہے ہیں۔"
افق پر رینسم ویئر
کلیفی ٹیم کو ایسے شواہد بھی ملے جن سے پتہ چلتا ہے کہ میلویئر کا ایک اضافی ورژن، ورژن 5، تیار ہو رہا ہے اور اس میں ایک رینسم ویئر ماڈیول شامل ہوگا جس کا اعلان پہلے ستمبر 2021 کے ترقیاتی روڈ میپ میں کیا گیا تھا۔
"رینسم ویئر کی خصوصیت کافی دلچسپ ہے کیونکہ یہ اینڈرائیڈ بینکنگ ٹروجن لینڈ اسکیپ میں اب بھی عام نہیں ہے،" کلیفی محققین نوٹ کرتے ہیں۔ "یہ حالیہ برسوں میں پیدا ہونے والے موقع سے بھرپور فائدہ اٹھاتا ہے، کیونکہ موبائل آلات زیادہ تر لوگوں کے لیے ذاتی اور کاروباری ڈیٹا کے لیے مرکزی ذخیرہ بن گئے ہیں۔"
NVisium کے سینئر سائبر سیکیورٹی کنسلٹنٹ Cory Cline کا کہنا ہے کہ بینکنگ ٹروجن میں رینسم ویئر کی صلاحیتوں کو شامل کرنے سے سائبر کرائمینلز کے لیے کافی فائدہ ہوتا ہے۔
"اب انہیں آپ کی مالی معلومات تک رسائی حاصل کرنے کے لیے آپ کا ذاتی ڈیٹا چوری کرنے کی ضرورت نہیں ہے،" وہ بتاتے ہیں۔ "رینسم ویئر کی صلاحیتوں کے ساتھ، حملہ آور اب متاثرہ آلات کو خفیہ کر سکتے ہیں۔"
وہ مزید کہتے ہیں کہ زیادہ سے زیادہ لوگ اپنی زندگی کے تقریباً ہر پہلو کو اپنے موبائل ڈیوائسز پر اسٹور کرتے ہیں، حملہ آور زیادہ آسانی سے ان اہداف کو تلاش کرنے کے قابل ہو جائیں گے جو ان کے ڈیٹا تک رسائی حاصل کرنے کے لیے ادائیگی کرنے کو تیار ہیں۔
"SOVA کے پیچھے ٹیم نے نفاست کی ایک نئی سطح کا مظاہرہ کیا ہے،" وہ کہتے ہیں۔ "فیچر سیٹ اینڈرائیڈ بینکنگ ٹروجن منظر کے لیے کافی منفرد ہے، اور SOVA سب سے زیادہ فیچر سے بھرپور اینڈرائیڈ بینکنگ ٹروجن دستیاب ہے۔"
تاہم، وہ بتاتے ہیں کہ SOVA کے پیچھے والی ٹیم نے اپنا حل لکھنے کے بجائے C2 کے لیے RetroFit کو لاگو کرنے کا انتخاب کیا ہے۔
"یہ ترقیاتی ٹیم میں کچھ حدود سے بات کر سکتا ہے،" کلائن کا کہنا ہے کہ.
بینکنگ ٹروجنز کو اضافی صلاحیتوں سے فروغ ملتا ہے۔
دیگر بینکنگ ٹروجنز نے بھی ماضی کی سیکیورٹی کو سکیٹ کرنے میں مدد کرنے کے لیے تازہ ترین خصوصیات کے ساتھ دوبارہ سرفہرست کیا ہے، بشمول ایموٹیٹ، جو دوبارہ ابھرا اس موسم گرما کے شروع میں جنوری 2021 میں مشترکہ بین الاقوامی ٹاسک فورس کی طرف سے ہٹائے جانے کے بعد مزید جدید شکل میں۔
جوزف کارسن، چیف سیکورٹی سائنسدان اور ڈیلینا میں ایڈوائزری CISO، کہتے ہیں کہ موجودہ اینڈرائیڈ بینکنگ ٹروجن کو بہتر بنانے اور تیار کرنے کے بہت سے فائدے ہیں۔
"SOVA v4 اور SOVA v5 میں نمایاں بہتری یہ ظاہر کرتی ہے کہ حملہ آور آسانی سے موجودہ خصوصیات کو بڑھا سکتے ہیں جیسے کوکیز اسٹیلر، جس میں اب مزید ادائیگی کی خدمات اور استحصال کے لیے ایپلی کیشنز شامل ہیں،" وہ بتاتے ہیں۔ "نئے ماڈیولز جیسے کرپٹو والٹس کو نشانہ بنانے والے یہ ظاہر کرتے ہیں کہ حملہ آور کرپٹو کرنسیوں کو ایک منافع بخش ہدف کے طور پر دیکھتے ہیں۔"
وہ بتاتا ہے کہ رینسم ویئر کی صلاحیتوں کو شامل کرنے سے حملہ آوروں کے لیے متعدد فوائد ہو سکتے ہیں، جیسے کہ ثبوت کو تباہ کرنا۔ یہ ڈیجیٹل فرانزک کے لیے حملہ آور کے کسی بھی نشان یا انتساب کو دریافت کرنا مشکل بناتا ہے، اور جب اسناد یا کوکیز چوری کرنا کامیاب نہیں ہوتا ہے تو حملہ آور کو ادائیگی حاصل کرنے کا ایک اضافی اختیار فراہم کرتا ہے۔
کارسن کا کہنا ہے کہ "جیسا کہ نئی انٹرنیٹ سروسز خاص طور پر مالیاتی صنعت میں اپنائی جاتی ہیں،" حملہ آوروں کو نئی ٹیکنالوجیز کے ساتھ ہم آہنگ رہنے کے لیے کسی دوسرے سافٹ ویئر کمپنی کی طرح بینکنگ ٹروجن کو نئے ماڈیولز کے ساتھ اپ ڈیٹ کرتے رہنے کی ضرورت ہوگی۔"
