Trojan ngân hàng Android SOVA đã hoạt động trở lại và có các tính năng cập nhật — với một phiên bản bổ sung đang được phát triển có chứa mô-đun ransomware.
Các nhà nghiên cứu tại Cleafy, tài liệu
sự hồi sinh của SOVA, cho biết phiên bản 4 dường như đang nhắm mục tiêu hơn 200 ứng dụng di động, bao gồm các ứng dụng ngân hàng và trao đổi/ví tiền điện tử. Tây Ban Nha dường như là quốc gia bị phần mềm độc hại nhắm tới nhiều nhất, tiếp theo là Philippines và Mỹ.
Phần mềm độc hại SOVA v4 ẩn trong các ứng dụng Android giả mạo được ngụy trang bằng logo của các ứng dụng phổ biến bao gồm Chrome và Amazon. Phiên bản mới nhất bao gồm cơ chế đánh cắp cookie được tái cấu trúc và cải tiến, hiện có thể chỉ định danh sách các dịch vụ được nhắm mục tiêu của Google và các ứng dụng khác. Ngoài ra, bản cập nhật cho phép phần mềm độc hại tự bảo vệ mình bằng cách chặn và làm chệch hướng nỗ lực gỡ cài đặt ứng dụng của nạn nhân.
Cũng trong các phiên bản mới nhất của SOVA, kẻ tấn công có thể kiểm soát các mục tiêu cụ thể thông qua giao diện ra lệnh và kiểm soát (C2). Điều này làm tăng khả năng thích ứng của phần mềm độc hại với nhiều tình huống tấn công khác nhau.
Ngoài ra, nó còn có khả năng cho phép kẻ tấn công chụp ảnh màn hình, ghi lại và thực thi các lệnh. Điều này cho phép kẻ tấn công tìm cách di chuyển sang các hệ thống hoặc ứng dụng khác có thể sinh lợi nhiều hơn.
“Phần thú vị nhất liên quan đến khả năng [điện toán mạng ảo],” báo cáo lưu ý. “Tính năng này đã có trong lộ trình SOVA kể từ tháng 2021 năm XNUMX và đó là bằng chứng mạnh mẽ cho thấy [tác nhân đe dọa] liên tục cập nhật phần mềm độc hại với các tính năng và khả năng mới.”
Phần mềm tống tiền trên đường chân trời
Nhóm Cleafy cũng tìm thấy bằng chứng cho thấy rằng một phiên bản bổ sung của phần mềm độc hại, phiên bản 5, đang được phát triển và sẽ bao gồm một mô-đun ransomware đã được công bố trước đó trong lộ trình phát triển vào tháng 2021 năm XNUMX.
Các nhà nghiên cứu của Clewy lưu ý: “Tính năng ransomware khá thú vị vì nó vẫn chưa phải là tính năng phổ biến trong bối cảnh trojan ngân hàng trên Android”. “Nó tận dụng mạnh mẽ cơ hội đã xuất hiện trong những năm gần đây, khi đối với hầu hết mọi người, thiết bị di động trở thành nơi lưu trữ trung tâm cho dữ liệu cá nhân và doanh nghiệp.”
Cory Cline, cố vấn an ninh mạng cấp cao tại nVisium, nói rằng việc bổ sung khả năng của ransomware vào Trojan ngân hàng mang lại nhiều lợi ích cho tội phạm mạng.
Ông giải thích: “Họ không cần phải đánh cắp dữ liệu cá nhân của bạn để có quyền truy cập vào thông tin tài chính của bạn nữa”. “Với khả năng của ransomware, giờ đây kẻ tấn công có thể mã hóa các thiết bị bị ảnh hưởng.”
Ông nói thêm rằng với việc ngày càng có nhiều người lưu trữ gần như mọi khía cạnh trong cuộc sống của họ trên thiết bị di động, những kẻ tấn công sẽ có thể dễ dàng tìm thấy những mục tiêu sẵn sàng trả tiền để lấy lại quyền truy cập vào dữ liệu của họ.
Ông nói: “Nhóm đằng sau SOVA đã chứng minh được mức độ tinh vi mới. “Bộ tính năng này khá độc đáo đối với bối cảnh Trojan ngân hàng Android và SOVA là một trong những Trojan ngân hàng Android giàu tính năng nhất hiện có.”
Tuy nhiên, ông chỉ ra rằng nhóm đằng sau SOVA đã chọn triển khai RetroFit cho C2 thay vì viết giải pháp của riêng mình.
Cline nói: “Điều này có thể bộc lộ một số hạn chế trong nhóm phát triển.
Trojan ngân hàng được tăng cường từ các khả năng bổ sung
Các Trojan ngân hàng khác cũng đã xuất hiện trở lại với các tính năng được cập nhật để giúp vượt qua mức độ bảo mật, bao gồm cả Emotet, đã xuất hiện trở lại. đầu mùa hè này ở dạng tiên tiến hơn sau khi bị lực lượng đặc nhiệm quốc tế chung gỡ bỏ vào tháng 2021 năm XNUMX.
Joseph Carson, nhà khoa học bảo mật trưởng và CISO tư vấn tại Delinea, nói rằng việc cải thiện và phát triển các Trojan ngân hàng Android hiện có có nhiều lợi thế.
Ông chỉ ra: “Những cải tiến đáng kể đối với SOVA v4 và SOVA v5 cho thấy những kẻ tấn công có thể chỉ cần mở rộng các tính năng hiện có như kẻ đánh cắp cookie, hiện bao gồm nhiều dịch vụ và ứng dụng thanh toán hơn để khai thác”. “Các mô-đun mới như nhắm mục tiêu vào ví tiền điện tử chứng minh rằng những kẻ tấn công coi tiền điện tử là mục tiêu sinh lợi.”
Ông giải thích rằng việc bổ sung thêm khả năng của ransomware có thể mang lại nhiều lợi ích cho những kẻ tấn công, chẳng hạn như tiêu hủy bằng chứng. Điều đó khiến cơ quan điều tra kỹ thuật số khó phát hiện ra bất kỳ dấu vết hoặc quyền tác giả nào của kẻ tấn công, đồng thời cung cấp cho kẻ tấn công một tùy chọn bổ sung để được trả tiền khi việc đánh cắp thông tin xác thực hoặc cookie không thành công.
Carson cho biết: “Khi các dịch vụ Internet mới, đặc biệt trong ngành tài chính được áp dụng, những kẻ tấn công sẽ cần liên tục cập nhật các Trojan ngân hàng với các mô-đun mới giống như bất kỳ công ty phần mềm nào khác để luôn tương thích với các công nghệ mới hơn”.
