Android 银行木马 SOVA 又回来了,并且具有更新的功能 - 正在开发一个包含勒索软件模块的附加版本。
Cleafy 的研究人员 记录
SOVA 的复兴表明,第 4 版似乎针对 200 多个移动应用程序,包括银行应用程序和加密货币交易所/钱包。 西班牙似乎是最受恶意软件攻击的国家,其次是菲律宾和美国。
SOVA v4 恶意软件隐藏在伪造的 Android 应用程序中,伪装成流行应用程序(包括 Chrome 和 Amazon)的徽标。 最新版本包括重构和改进的 cookie 窃取器机制,现在可以指定目标 Google 服务和其他应用程序的列表。 此外,该更新允许恶意软件通过拦截和转移受害者卸载应用程序的尝试来保护自己。
同样在最新版本的 SOVA 中,攻击者可以通过命令和控制 (C2) 接口控制特定目标。 这增加了恶意软件对各种攻击场景的适应性。
此外,它还具有允许攻击者抓取屏幕截图、记录和执行命令的功能。 这使攻击者能够寻找横向移动到可能更有利可图的其他系统或应用程序的方法。
“最有趣的部分与[虚拟网络计算]能力有关,”报告指出。 “自 2021 年 XNUMX 月以来,此功能一直在 SOVA 路线图中,这有力地证明 [威胁参与者] 正在不断更新恶意软件的新特性和功能。”
地平线上的勒索软件
Cleafy 团队还发现证据表明该恶意软件的另一个版本(版本 5)正在开发中,并将包括一个勒索软件模块,该模块之前已在 2021 年 XNUMX 月的开发路线图中宣布。
“勒索软件功能非常有趣,因为它在 Android 银行木马领域仍然不常见,”Cleafy 研究人员指出。 “它充分利用了近年来出现的机会,因为移动设备已成为大多数人个人和企业数据的中央存储。”
nVisium 的高级网络安全顾问 Cory Cline 表示,向银行木马添加勒索软件功能可以为网络犯罪分子带来很多好处。
“他们不再需要窃取您的个人数据来访问您的财务信息,”他解释道。 “借助勒索软件功能,攻击者现在可以加密受影响的设备。”
他补充说,随着越来越多的人几乎将生活的方方面面存储在他们的移动设备上,攻击者将能够更容易地找到愿意付费访问他们返回的数据的目标。
“SOVA 背后的团队已经展示了一个新的复杂水平,”他说。 “该功能集对于 Android 银行木马场景来说是相当独特的,而 SOVA 是可用的功能最丰富的 Android 银行木马之一。”
然而,他指出,SOVA 背后的团队选择为 C2 实施 RetroFit,而不是编写自己的解决方案。
“这可能说明开发团队存在一些局限性,”Cline 说。
银行木马从增加的功能中获得提升
其他银行木马也通过更新的功能重新出现,以帮助滑过安全措施,包括重新出现的 Emotet 今年夏天初 在 2021 年 XNUMX 月被联合国际工作组取缔后,以更高级的形式出现。
Delinea 的首席安全科学家兼咨询 CISO 约瑟夫·卡森 (Joseph Carson) 表示,改进和发展现有的 Android 银行木马有很多优势。
“SOVA v4 和 SOVA v5 的重大改进表明,攻击者可以简单地扩展现有功能,例如 cookie 窃取程序,现在包括更多的支付服务和应用程序可供利用,”他指出。 “诸如针对加密钱包的新模块表明,攻击者将加密货币视为有利可图的目标。”
他解释说,添加勒索软件功能可以为攻击者带来多重优势,例如破坏证据。 这使得数字取证难以发现攻击者的任何痕迹或归属,并为攻击者提供了在窃取凭据或 cookie 不成功时获得报酬的额外选择。
“随着专门针对金融行业的新互联网服务被采用,”卡森说,“攻击者需要像任何其他软件公司一样,不断用新模块更新银行木马,以保持与新技术的兼容性。”
