Androidov bančni trojanec SOVA se vrača in ima posodobljene zmogljivosti — z dodatno različico v razvoju, ki vsebuje modul izsiljevalske programske opreme.
Raziskovalci pri Cleafyju, ki dokumentirano
ponovnega vzpona SOVA, pravijo, da se zdi, da različica 4 cilja na več kot 200 mobilnih aplikacij, vključno z bančnimi aplikacijami in kripto menjalnicami/denarnicami. Zdi se, da je Španija najbolj tarča zlonamerne programske opreme, sledijo ji Filipini in ZDA.
Zlonamerna programska oprema SOVA v4 je skrita v lažnih aplikacijah za Android, prikritih z logotipi priljubljenih aplikacij, vključno s Chromom in Amazonom. Najnovejša različica vključuje spremenjen in izboljšan mehanizem za krajo piškotkov, ki lahko zdaj določi seznam ciljnih Googlovih storitev in drugih aplikacij. Poleg tega posodobitev omogoča zlonamerni programski opremi, da se zaščiti tako, da prestreže in odvrne poskuse žrtev, da bi odstranile aplikacijo.
Tudi v najnovejših različicah SOVA lahko napadalci nadzirajo določene tarče prek vmesnika za ukaz in nadzor (C2). To poveča prilagodljivost zlonamerne programske opreme številnim scenarijem napadov.
Poleg tega ima zmožnosti, ki napadalcem omogočajo zajemanje posnetkov zaslona ter snemanje in izvajanje ukazov. To napadalcu omogoča, da išče načine, kako se stransko premakniti na druge sisteme ali aplikacije, ki bi lahko bile bolj donosne.
"Najbolj zanimiv del je povezan z zmogljivostjo [računalništva v virtualnem omrežju]," ugotavlja poročilo. »Ta funkcija je v načrtu SOVA od septembra 2021 in to je močan dokaz, da [akterji groženj] nenehno posodabljajo zlonamerno programsko opremo z novimi funkcijami in zmogljivostmi.«
Ransomware na obzorju
Skupina Cleafy je našla tudi dokaze, ki kažejo, da je dodatna različica zlonamerne programske opreme, različica 5, v razvoju in bo vključevala modul izsiljevalske programske opreme, ki je bil predhodno napovedan v razvojnem načrtu septembra 2021.
»Funkcija izsiljevalske programske opreme je precej zanimiva, saj še vedno ni pogosta v bančniško-trojanski pokrajini Android,« ugotavljajo raziskovalci Cleafyja. "Močno izkorišča priložnost, ki se je pojavila v zadnjih letih, saj so mobilne naprave za večino ljudi postale osrednji pomnilnik za osebne in poslovne podatke."
Cory Cline, višji svetovalec za kibernetsko varnost pri nVisium, pravi, da dodajanje zmogljivosti izsiljevalske programske opreme bančnemu trojancu kibernetskim kriminalcem ponuja veliko prednosti.
"Ni jim več treba ukrasti vaših osebnih podatkov, da bi dobili dostop do vaših finančnih informacij," pojasnjuje. "Z zmožnostmi izsiljevalske programske opreme lahko napadalci zdaj šifrirajo prizadete naprave."
Dodaja, da bo z vse več ljudmi, ki shranjujejo skoraj vse vidike svojega življenja na svojih mobilnih napravah, napadalci lažje našli tarče, ki bodo pripravljene plačati za vrnitev dostopa do svojih podatkov.
»Ekipa, ki stoji za SOVO, je pokazala novo raven sofisticiranosti,« pravi. "Nabor funkcij je dokaj edinstven za bančno trojansko sceno Android, SOVA pa je eden izmed bančnih trojanskih konjev Android z najbolj bogatimi funkcijami, ki so na voljo."
Vendar poudarja, da se je ekipa, ki stoji za SOVO, odločila za implementacijo RetroFit za C2, namesto da bi napisala lastno rešitev.
"To bi lahko govorilo o nekaterih omejitvah v razvojni ekipi," pravi Cline.
Dodane zmožnosti spodbujajo bančne trojance
Ponovno so se pojavili tudi drugi bančni trojanci s posodobljenimi funkcijami, ki pomagajo premagati varnost, vključno z Emotetom, ki se je znova pojavil v začetku letošnjega poletja v naprednejši obliki, potem ko ga je januarja 2021 uničila skupna mednarodna delovna skupina.
Joseph Carson, glavni varnostni znanstvenik in svetovalni CISO pri Delinei, pravi, da ima izboljšanje in razvoj obstoječih bančnih trojancev Android veliko prednosti.
»Pomembne izboljšave SOVA v4 in SOVA v5 kažejo, da lahko napadalci preprosto razširijo obstoječe funkcije, kot je kraj piškotkov, ki zdaj vključuje več plačilnih storitev in aplikacij za izkoriščanje,« poudarja. "Novi moduli, kot so tisti, ki ciljajo na kriptovalute, dokazujejo, da napadalci vidijo kriptovalute kot donosen cilj."
Pojasnjuje, da ima lahko dodajanje zmogljivosti izsiljevalske programske opreme številne prednosti za napadalce, na primer uničenje dokazov. To digitalni forenziki otežuje odkrivanje sledi ali pripisa napadalcu in daje napadalcu dodatno možnost, da prejme plačilo, če kraja poverilnic ali piškotkov ni uspešna.
"Ker bodo sprejete nove internetne storitve posebej v finančni industriji," pravi Carson, "bodo napadalci morali nenehno posodabljati bančne trojance z novimi moduli, tako kot katera koli druga programska družba, da ostanejo združljivi z novejšimi tehnologijami."
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
